Hôm thứ tư vừa qua, trình duyệt Google Chrome đã bị Vupen hạ, đây là lần đầu tiên Goole Chrome bị hạ thành công trong Pwn2Own.
Pwn2Owwn là cuộc thi tấn công (hacking), tổ chức tại hội nghị bảo mật CanSecWest thường niên ở Vancouver (Canada). Mục tiêu của cuộc thi là khai thác các trình duyệt và thiết bị di động, giành toàn quyền kiểm soát hệ thống.
Năm nay, Vupen – nhóm từng hack thành công trình duyệt Safari năm 2011, đã chú ý Chrome sau khi phác thảo kế hoạch tấn công trong 6 tuần. Nhóm tận dụng  hai lỗ hổng zero-day và trang web được cài đặt suốt quá trình tấn công. Một khi máy tính ghé thăm trang web này, quá trình khai thác lỗ hổng diễn ra và ứng dụng mở rộng (add-on) Chrome ngoài sandbox, từ đó chứng minh rằng hacker hoàn toàn có thể kiểm soát cả hệ thống Windows 7 64-bit.
Vupen trước đây từng tung đoạn clip “crack” Chrome nhưng bị Google phủ nhận, cho rằng các tin tặc đã dùng lỗ hổng tìm thấy trong mã của bên thứ ba như Flash. Vupen không tiết lộ cách họ dành được quyền kiểm soát hệ thống, nhưng nhấn mạnh đã tấn công phiên bản mặc định của trình duyệt. Vì Flash được cài đặt sẵn trong Chrome, họ có thể dùng cách khai thác tương tự.
Dù Chrome đã bị khai thác trong sự kiện năm nay, đồng sáng lập Vupen Chaoki Bekrar vẫn ca ngợi “sandbox Chrome là sanbox bảo mật nhất trên thị trường. Đó là nhiệm vụ không hề dễ dàng để vượt qua mọi lớp bảo vệ trong sandbox”.
Nối gót trình duyệt Chrome của Google, Internet Explorer 9 (IE9) cũng bị hạ gục tại cuộc thi hack Pwn2Own năm nay.
Trình duyệt web của Microsoft đã bị đánh bại bởi một nhóm chuyên gia thuộc công ty bảo mật Vupen của Pháp. Các hacker đã có thể chạy mã bên ngoài sandbox (chế độ bảo vệ của trình duyệt, tính năng bảo mật này ngăn chặn việc điều khiển thực thi mã độc trên một hệ thống). Bằng cách đó, nhóm này đã có thể kiểm soát được một máy tính chạy Windows 7 được cập nhật vá lỗi đầy đủ.
Theo một nguồn tin, cuộc tấn công mà nhóm thực hiện đã không yêu cầu người dùng tương tác vượt ra ngoài trình duyệt web. Cách này có thể thực hiện trên tất cả phiên bản cũ của IE, chẳng hạn như IE6, cho đến IE10, dù chỉ ở bản Preview. Chaouki Bekrar – người đồng sáng lập của công ty bảo mật Vupen, cho biết: "Việc thực hiện rất khó. Khi phải kết hợp nhiều lỗ hổng lại để qua mặt mọi chết độ bảo vệ phải mất nhiều thời gian".
Đại diện của Microsoft tại sự kiện này cho biết họ có kế hoạch để đối phó với lỗ hổng này một khi đã nhận được thông tin về nó.
Pwn2Own là cuộc thi được tổ chức hàng năm tại hội nghị bảo mật CanSecWest ở Vancouver, mục đích tổ chức cho các hacker thi để tìm các lỗ hổng của 4 trình duyệt web là Microsoft Internet Explorer, Apple Safari, Google Chrome và Mozilla Firefox. Cuộc thi được dựa trên một hệ thống điểm, việc khai thác lỗ hổng zero-day của phiên bản mới nhất của một trình duyệt được tặng 32 điểm. Để giành chiến thắng, một nhóm hoặc một cá nhân phải chứng minh được là có ít nhất một lỗi zero-day.Bekrar cho biết, hai hacker trong nhóm đã làm việc cật lực trong thời gian sáu tuần để phát hiện và khai thác lỗ hổng của IE để phục vụ cuộc thi.