Spoluzakladatel VUPEN Security Chaouki Bekrar tvrdí, že jeho experti měli k dispozici MacBook s plně záplatovaným Mac OS X a povedlo se jim spustit po pěti vteřinách brouzdání na patřičně připravené stránce kalkulátor ze systému a zapsat na disk nějaká data, aniž by přitom Safari shodili. „Když se uživatel dostane na podobně připravenou stránku, máme ho.“ Podle Bekrara bylo hackování Safari zvláště v x64 verzi poměrně složité, protože prý není nabourávání se do x64 verzí příliš zdokumentováno a všechno si tak museli udělat sami od začátku. „Webkit obsahuje poměrně hodně děr, stačí spustit ,fuzzer‘ a výsledky na sebe nenechají dlouho čekat. Na x64 je to ale složitější a udělat stabilní exploit není vůbec snadné.“ Za odměnu dostali ve VUPEN Security $15 000 a 13″ Apple MacBook Air.

Stephen Fewer se s Internet Explorerem 8 trápil něco mezi pěti až šesti týdny. Nakonec úspěšně obešel jak DEP, tak ASLR, nejvíc práce dalo právě obejití zabezpečení. I on spustil na plně zazáplatovaném systému Windows 7 se SP1 kalkulátor a zapsal na disk nějaká data.

Fewer zmínil, že bezpečnost prohlížečů je stále lepší, jak jsou do systému nabalovány další a další prvky znesnadňující přístup „ven z prohlížeče“. Podle něj ale nakonec motivovaný hacker vždycky nějakou díru najde. „Pokud se v tom hrabete dlouhodobě a hledáte díry, nakonec stejně nějakou objevíte.“ Peter Vreugdenhil z HP TippingPoint, který vyhrál loni (letos je porotcem), byl Fewerovým exploitem fascinován, a to právě kvůli obejití režimu zabezpečení. Podle něj existuje jen jedna zdokumentovaná metoda, Fewer ale použil úplně novou. Detaily však budou zveřejněny až poté, co Microsoft vydá záplatu. Fewer si pochopitelně také odnesl $15 000 a notebook, pochopitelně s Windows (aneb „každý svého štěstí strůjcem“ ;-).

Další na řadě budou Firefox a Chrome (Opera tentokráte na seznamu není), přičemž Google na prolomení svého Chrome vypsal mimořádně vyšší odměnu, $20 000. Aby „vyšel svému štěstíčku trošku naproti“, v poslední době hodně záplatoval, ještě verze 9 (následována nedávno desítkou) zalátala 18 děr, z toho několik kritických (jako odměnu za objevení těchto děr zaplatil různým lidem dohromady přes $16 000). $20 000 dolarů přímo od Google plus Google CR-48 netbook s Chrome OS dostane ten, komu se podaří ovládnout systém pouze skrze prohlížeč, pokud se to povede až s pomocí děr operačního systému, budou se o dvacetitisícovou odměnu dělit Google se sponzorem soutěže napůl.

Podle dosavadních informací dohledatelných na Twitteru to vypadá, že Chrome první den útoku přežil beze ztráty kytičky. První část dobývání systému čistě přes Chrome se měla konat podle informací od pořadatele první den, tedy 9. března (a ten už i ve Vancouveru skončil, v době vydání článku tam bylo 10. března kolem ¼ na 8 ráno), až další dva dny je povoleno využívat i díry OS. Pochopitelně není dovoleno mít v prohlížeči žádné pluginy, tedy kromě těch, které obsahuje prohlížeč sám o sobě (což je např. interní PDF reader a možná i spolu s prohlížečem dodávaný Adobe Flash Player, který v Chrome 10 také běží v sandboxu). Firefox bude prý dobýván až dnes (10. března) spolu s mobilními zařízeními Dell Venue Pro (Windows Phone 7), iPhone 4 (iOS), Blackberry Torch 9800 (BlackBerry OS) a Nexus S (Android).

Aktualizováno 21:06: Rozhovor se Stephenem Fewerem, pokořitelem Internet Exploreru: