Pwn2Own 柏林 2025 黑客大赛已经结束,安全研究人员在利用 29 个零日漏洞并遇到一些错误碰撞后获得了 1,078,750 美元的奖金。
在整个比赛过程中,他们瞄准了人工智能、网络浏览器、虚拟化、本地权限提升、服务器、企业应用程序、云原生/容器和汽车类别的企业技术。
根据Pwn2Own 的规则,所有目标设备都安装了所有安全更新并运行最新的操作系统版本。
虽然特斯拉还提供了两台 2025 款特斯拉 Model Y 和 2024 款特斯拉 Model 3 台式机,但参加比赛的安全研究人员在 Pwn2Own 开始之前尚未在此类别中进行过任何尝试。
参赛选手在第一天就获得了 26 万美元的现金奖励,第二天凭借 20 个零日漏洞又获得了 43.5 万美元的奖励。Pwn2Own 比赛第三天,他们又凭借 8 个零日漏洞获得了 38.375 万美元的奖励。
在 Pwn2Own 活动期间演示这些漏洞后,供应商有 90 天的时间发布安全更新,之后 TrendMicro 的零日计划才会公开披露这些漏洞。
STAR Labs SG 团队在破解 Red Hat Enterprise Linux、Docker Desktop、Windows 11、VMware ESXi 和 Oracle VirtualBox 后,在为期三天的比赛中赢得了今年的 Pwn2Own 柏林站,获得 35 个 Master of Pwn 积分和 320,000 美元奖金。
STAR Labs 的 Nguyen Hoang Thach 利用整数溢出漏洞破解 VMware ESXi 虚拟机管理程序软件,赢得了比赛的最高奖金 150,000 美元。
Viettel 网络安全团队获得了第二名,他们展示了零日漏洞,这些漏洞可以让攻击者从 Oracle VirtualBox 客户机逃到主机系统,并使用结合了身份验证绕过和不安全反序列化的漏洞链来攻击 Microsoft SharePoint。
第三天,Reverse Tactics 团队再次利用滥用整数溢出和未初始化变量错误的漏洞链攻击 VMware 的虚拟机管理程序软件,赢得 112,500 美元并获得排名第三。
Mozilla已于上周末发布了 Firefox 138.0.4、Firefox ESR 128.10.1、Firefox ESR 115.23.1 和适用于 Android 的新版 Firefox 来解决竞赛期间演示的两个 Firefox 零日漏洞(CVE-2025-4918 和CVE-2025-4919 )。
2024 年 3 月,在安全研究员 Manfred Paul 在 2024 年 Pwn2Own Vancouver 大会上利用并报告了Firefox 网络浏览器中的另外两个零日漏洞( CVE-2024-29943 和CVE-2024-29944 ),Mozilla 修复了这些漏洞。
原文始发于微信公众号(犀牛安全):黑客在柏林 Pwn2Own 漏洞竞赛中凭借 28 个零日漏洞赢得 1,078,750 美元
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4092122.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论