Pwn2Own Berlin 2025揭示多款软件重大安全隐患

一、事件概述 📣

• 时间：2025年5月15日至17日。
• 地点：德国柏林，作为OffensiveCon会议的一部分。
• 主要内容：安全研究人员通过展示未公开的软件漏洞，赢取奖金。
• 目标软件：包括VMware ESXi、Microsoft SharePoint、Oracle VirtualBox、Red Hat Linux、Mozilla Firefox等。

二、比赛亮点 🎯

👉 1. STARLabs SG成大赢家—15万美元奖金

• 人物：Nguyen Hoang Thach。
• 攻击目标：VMware ESXi。
• 漏洞详情：利用整数溢出漏洞成功入侵。
• 获得：高额奖金15万美元。

👉 2.Viettel Cyber Security夺10万美元

• 人物：Dinh Ho Anh Khoa。
• 攻击目标：Microsoft SharePoint。
• 漏洞详情：结合了认证绕过和不安全反序列化漏洞链。
• 攻击效果：成功验证漏洞，获得10万美元报酬。

👉 3. Mozilla Firefox遇袭

• 攻击者：Palo Alto Networks的Edouard Bochin和Tao Yan。
• 漏洞类型：越权写入零日漏洞。
• 目标对象：浏览器安全性。

👉 4. Red Hat Linux权限升级

• 执行人员：STAR Labs SG的Gerrard Tai。
• 漏洞类型：使用use-after-free漏洞。
• 效果：成功将权限升级为root，展示漏洞的危害。

👉 5. Oracle VirtualBoxguest-to-host漏洞

• 执行团队：Viettel Cyber Security。
• 漏洞类型：越权写入漏洞。
• 目标：虚拟机系统的安全性。

👉 6. 其他亮点：AI类别首次亮相

• 目标对象：英伟达Triton推理服务器。
• 攻击者：Wiz Research的安全团队。
• 漏洞详情：利用Redis和Qrious Secure链接中的四个安全漏洞。
• 意义：AI领域的安全问题被带入聚光灯下，引发广泛关注。