Pwn2Own黑客大賽10周年版，獎金超過100萬美元，目標范圍涵蓋虛擬機、服務器、企業應用和Web瀏覽器。

過去十年，零日計劃(ZDI)年度Pwn2Own競賽，成為了信息安全日歷上開年重大活動之一，2017年也不例外。作為Pwn2Own競賽十周年紀念，如今由趨勢科技操辦的ZDI，將比之前任何一次都走得更遠，目標更多，獎金更高，只要成功執行零日漏洞利用即可獲得不菲獎金。

2016年，HPE將其包含有ZDI的TippingPoint部門，以3億美元的價格，出售給了趨勢科技公司。該年的Pwn2own競賽是兩家公司聯合舉辦的。2016年為期2天的競賽中，成功證明了總共21個零日漏洞的研究人員，分享了46萬美元的獎金。

Pwn2own 2017 將與CanSecWest大會一起，于3月15-17日在加拿大溫哥華舉行。2017大賽將由趨勢科技獨立贊助，且與去年的大賽不同，不再專注于Web瀏覽器。

今年的目標中出現了虛擬機，包括VMware和微軟Hyper-V系統。研究人員需要從客戶虛擬機執行虛擬化管理程序逃逸，以在底層托管操作系統中運行任意代碼。成功進行虛擬機逃逸的安全研究員，將獲得ZDI提供的10萬美元獎勵。

趨勢科技漏洞研究高級經理布萊恩·戈倫茨說：“我們每年都會考慮新目標。”

Pwn2Own大賽之外，ZDI還是從研究人員那里搜羅安全漏洞的產業，通過其項目主動尋求虛擬機逃逸技術。

Pwn2Own有望提升研究人員的認識，未來可能看到更多此類報告。但盡管虛擬機在本屆Pwn2Own目標列表當中，Docker容器卻沒有。

Linux

過去十年，Pwn2Own針對過基于蘋果macOS和微軟Windows的技術，但在2017年，開源Linux操作系統終于進駐目標列表。

在兩項獨立挑戰中，研究人員將特別針對 Ubuntu 16.10 Linux操作系統。一項是權限提升，另一項是服務器端Web托管利用。

只要能利用Linux內核漏洞提升權限，研究人員便會得到1.5萬美元的獎勵。Windows上的提權獎勵為3萬美元，macOS提權獎勵則是2萬。

Ubunt系統可通過名為“AppArmor”的額外強制訪問控制安全層進行保護，一些情況下可以限制本地用戶權限提升漏洞利用的風險。2017年的Pwn2Own競賽中，ZDI并未設置任何AppArmor。

在服務器端，ZDI對 Ubuntu 16.10 上運行的開源 Apache Web 服務器漏洞利用開出了20萬美元的獎勵。

Web瀏覽器

Web瀏覽器再次成為Pwn2Own主要目標，微軟Edge瀏覽器或谷歌Chrome漏洞利用價值8萬美元。蘋果的Safari漏洞利用可獲5萬美元獎金。

2016的競賽中Mozilla的火狐瀏覽器未能入選，但今年的目標列表中它強勢回歸。對火狐瀏覽器的成功漏洞利用可獲3萬美元獎勵。

Mozilla增強了其安全性，我們完全有理由將其重新包含到競賽中。

另外，2017 Pwn2Own 競賽將為每個 Adobe Reader、微軟 Office Word、Excel和PowerPoint的成功漏洞利用開出5萬美元獎金。總獎金額度超過了以往任何一屆Pwn2Own大賽。

戈恩茨說：“最終獎金數額的大部分取決于我們設置的項目數量，肯定會超過100萬美元，是迄今為止的最大額度。”

歷經十年，Pwn2Own黑客挑戰賽很可能繼續延續更多個年頭。

“雖然生活在完全安全的世界會很美好，但我們知道這是不現實的。Pwn2Own上產生了很多偉大的研究，也激發了很多有價值的研究——最終改善了我們每個人的安全。”