O cara prometeu e cumpriu: Charlie Miller, que no ano passado invadiu um MacBook Air na conferência CanSecWest e levou US$10 mil pra casa, conseguiu hoje explorar uma brecha no Safari rodando em um MacBook e hackeou o sistema em menos de 10 segundos. A nova façanha lhe rendeu mais US$5 mil (e o notebook).
Um link utilizado por Charlie e seu time explorou uma vulnerabilidade no navegador da Apple para abrir a máquina para invasão em poucos segundos. Em outras palavras, toda a investigação já havia sido feita antes do evento; lá, ele só executou o script e comprovou o achado aos participantes da conferência. Como de praxe, a descoberta é de direito da Zero Day Initiative, da TippintPoint, que trabalhará com o pessoal de Cupertino para corrigir a falha. Os detalhes só serão revelados quando um patch estiver pronto.
Mas a coisa não terminou por aí: um pesquisador de segurança conhecido como “Nils” conseguiu hackear, também, um Sony Vaio rodando uma versão atualizada do Windows 7 com o Internet Explorer 8 — que, por sinal, acaba de ser lançado oficialmente pela Microsoft. Ele também levou o prêmio em dinheiro pra casa, além do laptop usado na invasão. Mais tarde, “Nils” também conseguiu hackear o Safari.
O evento continua até sexta-feira. Veremos se mais surpresas aparecem no caminho.
Atualização (19/3/09 às 1h50): de acordo com o Security Watch, apesar de ter demorado um pouco mais, o Firefox também caiu no primeiro dia da PWN2OWN.