Windows 11 и Red Hat Linux взломаны в первый день конкурса Pwn2Own 2025

В первый день международного конкурса по безопасности Pwn2Own Berlin 2025 участники получили в общей сложности $260 000 призовых, продемонстрировав ряд эксплойтов нулевого дня для Windows 11, Red Hat Enterprise Linux и Oracle VirtualBox.

Команда DEVCORE открыла серию, взломав Red Hat Linux через переполнение целого числа и получив $20 000. За ней выступили Хёнву Ким и Вонги Ли, также получившие root-доступ к Linux, однако часть используемых уязвимостей оказалась уже известной, что снизило приз.

• Windows 11 был взломан трижды:
• Чен Ле Ци из STARLabs SG использовал цепочку use-after-free + integer overflow, получив $30 000.
• Марцин Вёнзовски применил out-of-bounds write.
• Хёнджин Чой — type confusion zero-day.

Отдельно Team Prison Break заработала $40 000, показав уязвимость в Oracle VirtualBox, позволившую выйти из виртуальной машины и выполнить код в основной системе. Ещё $60 000 получила пара из STARLabs за побег из Docker Desktop через use-after-free.

Мероприятие проходит с 15 по 17 мая на конференции OffensiveCon в Берлине. Второй день принесёт новые атаки — в числе целей заявлены Microsoft SharePoint, VMware ESXi, Mozilla Firefox и другие корпоративные решения.

После демонстрации уязвимостей разработчики получают 90 дней на устранение проблем, прежде чем они будут обнародованы.

Призовой фонд всего конкурса превышает $1 млн. Помимо систем и приложений, в этом году в конкурс впервые добавлены категории ИИ и автомобильных решений, включая Tesla Model 3 и Model Y, хотя попыток взлома автомобилей в первый день не было.