ПОСЛЕДНИЕ НОВОСТИ
Главная | IT | На соревновании Pwn2Own в Берлине продемонстрированы взломы RHEL, Windows 11 и AI-агентов

На соревновании Pwn2Own в Берлине продемонстрированы взломы RHEL, Windows 11 и AI-агентов

в IT 17.05.2026 02:15

Подведены итоги трёх дней соревнований Pwn2Own Berlin 2026, на которых были продемонстрированы успешные атаки с использованием 47 ранее неизвестных уязвимостей (0-day) в операционных системах, браузерах, AI-системах и платформах виртуализации. При проведении атак использовались самые свежие программы и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию.

Суммарный размер выплаченных вознаграждений составил более $1.2 миллиона долларов США ($1,298,250). Наиболее успешная команда
DEVCORE сумела заработать на соревнованиях 505 тысяч долларов США. Обладатели второго места (STARLabs SG) получили 242 тысяч долларов, а третьего (Out Of Bounds) — 95 тысяч долларов.

Осуществлённые атаки:

  • Red Hat Enterprise Linux: 4 успешные атаки, позволившие поднять свои привилегии до пользователя root. Уязвимости вызваны целочисленным переполнением, обращением к памяти после освобождения, состоянием гонки и использованием неинициализированной памяти. Участникам выплачено $20,000, $10,000, $7,000 и $5,000.
  • Windows 11: 5 успешные атаки, позволившие получить права администратора. Уязвимости вызваны целочисленным переполнением, переполнением буфера, обращением к памяти после освобождения и некорректным управлением доступом. Участникам выплачено $30,000, две премии по $15,000 и две премии по $7,500.

  • VMware ESX: атака, позволившая выполнить код на стороне хост-окружения. Проблема вызвана переполнением буфера. Участникам выплачено $200,000.
  • NV Container Toolkit: 2 успешные атаки, позволившие обойти изоляцию контейнера. Проблемы вызваны обращением к памяти после освобождения. Участникам выплачено $25,000 и $50,000

  • Microsoft Edge: Удалённое выполнение кода c обходом sandbox. Участникам выплачено $175,000.
  • Microsoft SharePoint: Удалённое выполнение кода. Участникам выплачено $100,000.
  • Microsoft Exchange: Удалённое выполнение кода с правами SYSTEM. Участникам выплачено $200,000.

  • OpenAI Codex: 4 успешных взлома. Выплачено: $40,000, две премии по $20,000 и $10,000.
  • NVIDIA Megatron Bridge: 4 успешных взлома. Выплачено: $20,000, две премии по $10,000, $2,500.
  • Anthropic Claude Code: 3 успешных взлома. Выплачены три премии по $20,000.
  • LM Studio: 2 успешных взлома. Выплачено: $40,000 и $20,000.
  • Cursor: 2 успешных взлома. Выплачено: $30,000 и $15,000.
  • LiteLLM: 3 успешных взлома. Выплачено: $17,750, $40,000 и $8,000.
  • Chroma: Один взлом, выплачено $20,000.
  • Ollama: Один взлом, выплачено $28,000.
  • Anthropic Claude Desktop: Один взлом, выплачено $10,000.

Кроме вышеотмеченных успешных атак, 7 попыток эксплуатации уязвимостей завершились неудачей, во всех случаях из-за того, что команды не успели уложиться в отведённое для атаки ограниченное время. Неудачными оказались попытки взлома VMware ESXi, Apple Safari, Microsoft SharePoint, Red Hat Enterprise Linux, Firefox, OpenAI Codex,
Oracle Autonomous AI Database, NV Container Toolkit.

В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

Источник


Теги:
© 2026. НОВОСТИ В КЫРГЫЗСТАНЕ. Все права защищены