Подведены итоги трёх дней соревнований Pwn2Own Berlin 2025, на которых были продемонстрированы 26 успешных атак с использованием 28 ранее неизвестных уязвимостей (0-day) в операционных системах, браузерах, AI-системах и платформах виртуализации. При проведении атак использовались самые свежие программы и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию.

Суммарный размер выплаченных вознаграждений составил более миллиона долларов США ($1,078,750). Наиболее успешная команда TAR Labs SG сумела заработать на соревнованиях 320 тысяч долларов США. Обладатели второго места (Viettel Cyber Security) получили 155 тысяч долларов, а третьего (Reverse_Tactics) - 112 тысяч долларов.

Осуществлённые атаки:

• Red Hat Enterprise Linux: 3 успешные атаки, позволившие поднять свои привилегии до пользователя root. Уязвимости вызваны целочисленным переполнением, обращением к памяти после освобождения и утечкой информации. Участникам выплачено $20,000, $15,000 и $10,000.
• Mozilla Firefox: 2 успешные атаки, позволившие выполнить код в системе при обработке в браузере специально оформленной страницы. Уязвимости вызваны переполнением буфера и целочисленным переполнением. Участникам выплачены две премии по $50,000.
• СУБД Redis: Одна успешная атака, позволившая выполнить код в системе при обработке специально оформленного запроса. Уязвимость вызвана обращением к памяти после освобождения. Участникам выплачено $40,000.
• VirtualBox: 3 успешные атаки, позволившие выполнить код на стороне хост-окружения. Уязвимости вызваны обращением к памяти после освобождения, переполнением буфера и некорректной проверкой индекса массива. Участникам выплачено $60,000, $40,000 и $70,000.
• Docker Desktop: Одна успешная атака, позволившая выполнить код на стороне хост-окружения. Проблема вызвана целочисленным переполнением. Участникам выплачено $40,000.
• VMware ESXi: 2 успешные атаки, позволившие выполнить код на стороне хост-окружения. Проблемы вызваны целочисленным переполнением и использованием неинициализированных переменных. Участникам выплачено - $150,000 и $112,500.
• VMware Workstation: Одна успешная атака, позволившая выполнить код на стороне хост-окружения. Проблема вызвана переполнением буфера. Участникам выплачено - $80,000.
• NVIDIA Container Toolkit: Одна успешная атака, позволившая выполнить код на стороне хост-окружения. Проблема вызвана внешней инициализацией служебных переменных. Участникам выплачено - $30,000.
• NVIDIA Triton Inference Server (отрытое ПО для запуска AI-моделей): 5 успешных атак, позволивших получить root-доступ к серверу. Участникам выплачено четыре премии по $15,000 и одна премия $30,000.
• Windows 11: 5 успешных атак, позволивших выполнить код с правами SYSTEM. Уязвимости вызваны обращением к памяти после освобождения, целочисленным переполнением, переполнением буфера, неправильной обработкой типов (Type Confusion) и состоянием гонки. Участникам выплачено по две премии в $30,000 и $15,000, а также одна премия в $11,250.
• Microsoft SharePoint. Одна успешная атака. Проблемы возникли из-за обхода аутентификации и небезопасной десериализации данных. Участникам выплачено $100,000.
• Платформа Chroma AI: Участникам выплачено $20,000.

Четыре попытки взломов NVIDIA Triton Inference, SharePoint и VirtualBox завершились неудачей.

Подробности о характере уязвимостей пока не сообщаются. В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

Компания Mozilla в течение нескольких часов устранила продемонстрированные на соревнованиях проблемы в Firefox и выпустила обновления 138.0.4, 128.10.1 и 115.23.1 c исправлением двух критических уязвимостей (CVE-2025-4920, CVE-2025-4921), приводящих к выходу за границу буфера при манипуляциях с JavaScript-объектом Promise (упомянуто искажение размера индекса массива).