IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Systémy Windows 11 a Microsoft Edge byly úspěšně napadeny na soutěži Pwn2Own v Berlíně 2026

Systémy Windows 11 a Microsoft Edge byly úspěšně napadeny na soutěži Pwn2Own v Berlíně 2026

Během zahajovacího dne bezpečnostní konference Pwn2Own v Berlíně určeného pro rok 2026 si bezpečnostní experti odnesli finanční odměny v celkové hodnotě 523 000 dolarů. Podařilo se jim využít celkem 24 unikátních zranitelností typu „zero-day“.

Hlavním bodem programu byl pokus Orange Tsaiho, který si zajistil odměnu 175 000 dolarů díky řetězení čtyř logických chyb, čímž dosáhl úniku ze sandboxu v prohlížeči Microsoft Edge.

Operační systém Windows 11 byl rovněž třikrát úspěšně prolomen. O to se postaraly týmy Angelboy a TwinkleStar03 (spolupracující s programem stáží DEVCORE), Marcin Wiązowski a Kentaro Kawane ze společnosti GMO Cybersecurity. Každý z nich získal odměnu 30 000 dolarů za demonstraci nových zranitelností typu „zero-day“ pro zvýšení systémových oprávnění.

Valentina Palmiotti z týmu IBM X-Force Offensive Research (XOR) si připsala 20 000 dolarů za rootnutí stanice s operačním systémem Red Hat Linux a dalších 50 000 dolarů za zneužití zranitelnosti „zero-day“ v nástroji NVIDIA Container Toolkit.

Mezi další úspěšné útoky patří k3vg3n, který řetězením tří chyb vyřadil LiteLLM (odměna 40 000 dolarů), dále pak Satoki Tsuji a haehae, kteří využili zranitelnosti v NVIDIA Megatron Bridge (odměna 20 000 dolarů). Společnosti Compass Security a maitai z Doyensec úspěšně napadly kódovacího agenta OpenAI Codex, přičemž každý získal 40 000 dolarů. Badatel haehae navíc odhalil „zero-day“ chybu v Chroma (20 000 dolarů) a tým STARLabs SG identifikoval zranitelnost v LM Studiu (40 000 dolarů).

Bezpečnostní experti, kteří se zaměřují na plně aktualizované produkty v kategoriích webových prohlížečů, virtualizace, lokálního navyšování oprávnění, serverů, podnikových aplikací, cloudových technologií, kontejnerů a lokální inference LLM, si mohou rozdělit přes 1 000 000 dolarů v hotovosti a věcných cenách.

Dle pravidel Pwn2Own musí všechna cílová zařízení využívat nejnovější verze operačních systémů a účastníci musí prokázat možnost libovolného spuštění kódu (arbitrary code execution). Po nahlášení a zveřejnění zranitelností v rámci soutěže mají dodavatelé 90 dní na vydání příslušných bezpečnostních záplat pro svůj software či hardware. Minulý rok udělila iniciativa Zero Day od společnosti TrendMicro celkem 1 078 750 dolarů za nálezy 29 zranitelností typu „zero-day“.

Zdroj: bleepingcomputer.com