黑客在Pwn2Own柏林大赛中利用28个零日漏洞斩获107万美元奖金

在刚刚落幕的Pwn2Own柏林2025黑客大赛中，安全研究人员通过成功利用28个零日漏洞，累计斩获1,078,750美元奖金。在这场为期三天的赛事中，参赛者针对多个关键领域发起挑战，包括人工智能平台、网络浏览器、虚拟化软件、服务器基础设施、云原生/容器技术以及包含特斯拉测试单元在内的汽车系统。根据比赛规则，所有被攻击设备均已安装最新安全补丁并运行最新版操作系统。

首日比赛中，研究人员凭借漏洞演示赢得260,000美元。次日，随着20个零日漏洞被相继攻破，奖金总额飙升至435,000美元。最后一个比赛日的激烈角逐又带来383,750美元收入，共揭露8个全新零日漏洞。

STAR Labs SG团队以总分35分和32万美元总奖金成为本届最大赢家，其研究员Nguyen Hoang Thach利用整数溢出漏洞成功攻破VMware ESXi虚拟机管理程序，独获15万美元最高个人奖金。越南Viettel网络安全团队和Reverse Tactics团队分列二三位，前者演示了Oracle VirtualBox客户机逃逸和微软SharePoint组合漏洞攻击链，后者则展示了针对VMware虚拟机管理程序的创新攻击技术。

值得关注的是，赛事中披露的两个Firefox漏洞（编号CVE-2025-4918/4919）已获紧急修复，Mozilla周末紧急发布Firefox 138.0.4等多版本更新。这延续了该厂商在今年3月温哥华站赛事后快速修复漏洞的传统。按照赛事规则，所有漏洞将经由趋势科技零日计划进行协调披露，厂商有90天修复期限。

来源：https://www.bleepingcomputer.com/news/security/hackers-earn-1-078-750-for-28-zero-days-at-pwn2own-berlin/