Подведены итоги трёх дней соревнований Pwn2Own Berlin 2025, на которых были продемонстрированы 26 успешных атак с использованием 28 ранее неизвестных уязвимостей (0-day) в операционных системах, браузерах, AI-системах и платформах виртуализации. При проведении атак использовались самые свежие программы и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию.
Суммарный размер выплаченных вознаграждений составил более миллиона долларов США ($1,078,750). Наиболее успешная команда TAR Labs SG сумела заработать на соревнованиях 320 тысяч долларов США. Обладатели второго места (Viettel Cyber Security) получили 155 тысяч долларов, а третьего (Reverse_Tactics) – 112 тысяч долларов.
Осуществлённые атаки:
- Red Hat Enterprise Linux: 3 успешные атаки, позволившие поднять свои привилегии до пользователя root. Уязвимости вызваны целочисленным переполнением, обращением к памяти после освобождения и утечкой информации. Участникам выплачено $20,000, $15,000 и $10,000.
- Mozilla Firefox: 2 успешные атаки, позволившие выполнить код в системе при обработке в браузере специально оформленной страницы. Уязвимости вызваны переполнением буфера и целочисленным переполнением. Участникам выплачены две премии по $50,000.
- СУБД Redis: Одна успешная атака, позволившая выполнить код в системе при обработке специально оформленного запроса. Уязвимость вызвана обращением к памяти после освобождения.
Участникам выплачено $40,000. - VirtualBox: 3 успешные атаки, позволившие выполнить код на стороне хост-окружения. Уязвимости вызваны обращением к памяти после освобождения, переполнением буфера и некорректной проверкой индекса массива. Участникам выплачено $60,000, $40,000 и $70,000.
- Docker Desktop: Одна успешная атака, позволившая выполнить код на стороне хост-окружения. Проблема вызвана целочисленным переполнением. Участникам выплачено $40,000.
- VMware ESXi: 2 успешные атаки, позволившие выполнить код на стороне хост-окружения. Проблемы вызваны целочисленным переполнением и использованием неинициализированных переменных.
Участникам выплачено – $150,000 и $112,500. - VMware Workstation: Одна успешная атака, позволившая выполнить код на стороне хост-окружения. Проблема вызвана переполнением буфера.
Участникам выплачено – $80,000. - NVIDIA Container Toolkit: Одна успешная атака, позволившая выполнить код на стороне хост-окружения. Проблема вызвана внешней инициализацией служебных переменных. Участникам выплачено – $30,000.
- NVIDIA Triton Inference Server (отрытое ПО для запуска AI-моделей): 5 успешных атак, позволивших получить root-доступ к серверу. Участникам выплачено четыре премии по $15,000 и одна премия $30,000.
- Windows 11: 5 успешных атак, позволивших выполнить код с правами SYSTEM. Уязвимости вызваны обращением к памяти после освобождения, целочисленным переполнением, переполнением буфера, неправильной обработкой типов (Type Confusion) и состоянием гонки.
Участникам выплачено по две премии в $30,000 и $15,000, а также одна премия в $11,250. - Microsoft SharePoint. Одна успешная атака. Проблемы возникли из-за обхода аутентификации и небезопасной десериализации данных.
Участникам выплачено $100,000. - Платформа Chroma AI: Участникам выплачено $20,000.
Четыре попытки взломов NVIDIA Triton Inference, SharePoint и VirtualBox завершились неудачей.
Подробности о характере уязвимостей пока не сообщаются. В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.
Компания Mozilla в течение нескольких часов устранила продемонстрированные на соревнованиях проблемы в Firefox и выпустила обновления 138.0.4, 128.10.1 и 115.23.1 c исправлением двух критических уязвимостей (CVE-2025-4920, CVE-2025-4921), приводящих к выходу за границу буфера при манипуляциях с JavaScript-объектом Promise (упомянуто искажение размера индекса массива).