Notebookcheck Logo

Pwn2Own Berlin 2026 - Windows 11 и Microsoft Exchange взломаны

За два дня Pwn2Own Berlin 2026 было выплачено более 908 000 долларов США за 39 нулевых дней, среди которых наиболее заметными целями были Microsoft Exchange и Windows 11.
ⓘ magnific.com/author/standret
За два дня Pwn2Own Berlin 2026 было выплачено более 908 000 долларов США за 39 нулевых дней, среди которых наиболее заметными целями были Microsoft Exchange и Windows 11.
За два дня Pwn2Own Berlin 2026 выплатил более $908 000 за 39 "нулевых дней", при этом Microsoft Exchange был взломан за $200 000, а Windows 11 была взломана четыре раза.
PC и всё, что связано с ним ноутбуки Софт безопасность Windows Microsoft AI бизнес

Сегодня завершается конференция Pwn2Own Berlin 2026 на сайте OffensiveConи за два подтвержденных дня результаты оказались значительными. Исследователи собрали более $908 000 призовых после демонстрации 39 уникальных уязвимостей нулевого дня в Windows 11, Microsoft Exchange, Microsoft Edge, Red Hat Enterprise Linux, инфраструктуре Nvidia и ряде AI-платформ. Результаты третьего дня еще не подведены.

День 1 - Edge падает, Windows 11 взламывают три раза

День 1 выплатил 523 000 долларов США за 24 нулевых дня. Особенно отличился Орандж Цай (Orange Tsai) из исследовательской группы DEVCORE, который соединил четыре логические ошибки в цепочку, чтобы выбраться из песочницы Microsoft Edge и заработать $175 000 за одну демонстрацию. Windows 11 была взломана трижды тремя независимыми исследователями, каждый из которых заработал $30 000 за нулевые дни повышения привилегий. Валентина Пальмиотти из IBM X-Force получила $70 000 за два отдельных эксплойта, нацеленных на NVIDIA Container Toolkit и Red Hat Linux. Категория ИИ была не менее активной: LiteLLM, OpenAI Codex, NVIDIA Megatron Bridge, Chroma и LM Studio - все они пали в День 1.

День 2 - Обмен компромиссами на $200 000

В День 2 было выплачено $385 750 за 15 нулевых дней. Снова появился Оранжевый Цай (Orange Tsai)на этот раз, используя цепочку из трех ошибок, он получил возможность удаленного выполнения кода с привилегиями SYSTEM на полностью исправленном сервере Microsoft Exchange Server. Это самый высокий заработок за все время конкурса - $200 000. Во второй день снова была взломана Windows 11, а также агент кодирования Cursor AI. OpenAI Codex также был взломан во второй раз другим исследователем.

Заполненная площадка

Мероприятие заполнилось до отказа впервые за свою 19-летнюю историю. Более 150 исследователей не смогли принять участие в мероприятии из-за ограничений в расписании. Некоторые из них публично заявили о нулевых днях, не дожидаясь следующего года. У всех производителей есть 90 дней с момента раскрытия информации, чтобы исправить недостатки, продемонстрированные на Pwn2Own.

Notebookcheck рассказывал о том, что Google подтвердил наличие первого Нулевого дня, разработанного ИИ в начале этого месяца, когда модель искусственного интеллекта написала и развернула функциональный эксплойт, нацеленный на обход 2FA в широко используемом инструменте веб-администрирования

Google LogoAdd as a preferred source on Google
Mail Logo

Ещё по теме

'
Darryl Linington, 2026-05-16 (Update: 2026-05-16)