Основы Интернет - технологий.

В Берлине стартовало соревнование Pwn2Own Berlin 2026, посвященное взлому корпоративных технологий и ИИ. В первый день исследователи заработали 523 000 долларов США, продемонстрировав 24 уникальных 0-day-уязвимости в Windows, браузерах, LLM-инструментах и контейнерных решениях. Главным событием первого дня состязания стала атака исследователя Orange Tsai, который сумел взломать Microsoft Edge, объединив в цепочку четыре логических бага. В результате ему удалось осуществить побег песочницы браузера. За эту атаку специалист получил 175 000 долларов США. Также была трижды скомпрометирована Windows 11. Команды DEVCORE Research Team, GMO Cybersecurity и ИБ-эксперт Марцин Вионзовски (Marcin Wiązowski) продемонстрировали новые уязвимости для повышения привилегий и получили за это по 30 000 долларов США. Отдельно отличилась Валентина Пальмиотти (Valentina Palmiotti), известная под ником chompie и представляющая на соревновании IBM X-Force Offensive Research (XOR). Исследовательница заработала 20 000 долларов США за взлом Red Hat Linux for Workstations и еще 50 000 долларов США за 0-day в NVIDIA Container Toolkit. Среди других успешных атак первого дня: исследователь k3vg3n заработал 40 000 долларов США за цепочку из трех багов в LiteLLM; Сатоки Цудзи (Satoki Tsuji) и haehae получили 20 000 долларов США за эксплуатацию 0-day в NVIDIA Megatron Bridge; специалисты Compass Security и maitai из Doyensec скомпрометировали ИИ-агента OpenAI Codex и получили за это по 40 000 долларов США; уже упомянутый haehae также продемонстрировал 0-day в Chroma, что принесло ему еще 20 000 долларов США; команда STARLabs SG получила 40 000 долларов США за атаку на LM Studio. После первого дня лидерство удерживает команда DEVCORE Research Team с результатом 205 000 долларов США и 20,5 очка Master of Pwn. На втором месте находится Валентина Пальмиотти с 70 000 долларов США призовых и 7 баллами Master of Pwn. Во второй день соревнования участники попытаются атаковать Microsoft SharePoint, Microsoft Exchange, Windows 11, Safari, Firefox, Cursor, OpenAI Codex, Anthropic Claude Code, LiteLLM и другие продукты. По правилам конкурса все цели должны работать на полностью обновленных версиях ОС и ПО, а участники обязаны продемонстрировать полноценное выполнение произвольного кода. После этого производителям дается 90 дней на выпуск патчей для уязвимых продуктов, после чего представители Trend Micro Zero Day Initiative публично раскроют детали показанных на соревновании 0-day. Напомним, что в прошлом году организаторы Pwn2Own выплатили исследователям 1 078 750 долларов США за обнаружение 28 уникальных 0-day-уязвимостей.