Peter Vreugdenhil, un chercheur hollandais en sécurité, et nouveau participant à Pwn2Own, n'est pas venu pour rien. En effet, il a réussi à exploiter une vulnérabilité de IE8 sous Windows 7 avec un code d'attaque jugé «techniquement impressionnant» par TippingPoint : « il est parvenu à contourner le mécanisme de sécurité identifié sous le nom de Data Execution Prevention ou DEP du système d'exploitation, et spécifiquement chargé d'arrêter la plupart des attaques. » Comme Charlie Miller, Peter Vreugdenhil, a gagné un prix de 10.000 dollars. Nils, étudiant allemand en informatique et ancien lauréat, a reçu cette année 10.000 dollars pour avoir réussi à pirater Firefox de Mozilla sous Windows 7. Parmi les navigateurs désignés pour cibles par le concours, seul Chrome de Google a tenu au delà de la première journée.

Un business fructueux pour l'organisateur

TippingPoint ne révèle aucun détail sur les vulnérabilités mises à jour pendant le Pwn2Own. Dans le cadre du concours, l'entreprise rachète les droits d'exploitation du code et traite ensuite avec les éditeurs concernés, qui envoient tous des représentants sur place. Souvent, les vendeurs ne tardent pas à sortir les patchs qui corrigent les vulnérabilités découvertes. En 2008 par exemple, trois semaines à peine après que Charlie Miller fasse tomber Safari, Apple livrait son correctif. Mozilla a battu ce record l'année dernière, mettant à jour Firefox une semaine seulement après la faille découverte par Nils sur son navigateur.

 

TippingPoint divulgue la nature de chaque faille quand le vendeur a fini de colmater ses brèches.