著名的黑客竞赛Pwn2Own 2025柏林最近结束了,网络安全研究人员通过利用各种平台和技术的一系列零日漏洞,获得了总计1,078,750美元的奖金。

在这次精英竞赛中,artificial intelligence参与者将目光投向了人工智能、Web浏览器、虚拟化平台、本地特权升级、服务器、企业应用程序、云原生/容器环境和汽车系统等企业技术。根据竞争规则,所有目标设备都运行最新的操作系统,并应用了最新的安全补丁。

仅在第一天,研究人员就获得了26万美元的奖励。到第二天,又为20个新发现的零日漏洞获得了435,000美元。最后一天,研究人员通过再利用8个零日获得了额外的383,750美元。

在每次成功演示工作漏洞后,供应商将获得一个90天的窗口,以便在漏洞详细信息公开之前发布安全补丁。然而,在涉及难以补救的异常复杂的缺陷的情况下,供应商可能会与研究人员协商延期以延迟披露。

比赛中最高的单一奖励(15万美元)授予STAR Labs的Nguyen Hoang Thach。他通过整数溢出漏洞成功地破坏了VMware的ESXi虚拟机管理程序,Broadcom发布了赏金。

个人支出第二高,流向了Viettel网络安全团队。他们执行了从 Oracle VirtualBox 客户机到主机系统的突破,随后将身份验证旁路与不安全的反序列化漏洞捆绑在一起,以攻击 Microsoft SharePoint。

排在第三位的是反向战术团队,该团队利用VMware虚拟机管理程序中整数溢出和未初始化变量错误的组合来赚取112,000美元。

值得注意的是,在比赛期间,Mozilla Firefox浏览器中发现了两个0day漏洞。作为回应,Mozilla发布了更新来解决这些缺陷,特别是Firefox v138.0.4,Firefox ESR 128.10.1,Firefox ESR 115.23.1和最新版本的Firefox for Android – 解决了CVE-2025-4918和CVE-2025-4919。