Forscher nahmen vollständig gepatchte Produkte in einer breiten Palette von Kategorien ins Visier, darunter Webbrowser, Unternehmensanwendungen, lokale Privilegienerweiterung, Server, lokale Inferenz, Cloud-native/Container-Umgebungen, Virtualisierung und Large Language Models (LLMs). ### Aufschlüsselung der Auszahlungen Der Wettbewerb erstreckte sich über drei Tage, wobei jeden Tag bedeutende Auszahlungen vergeben wurden: * Tag 1: 523.000 US-Dollar für 24 einzigartige Zero-Days. * Tag 2: 385.750 US-Dollar für 15 Zero-Days. * Tag 3: 389.500 US-Dollar für 8 Zero-Days. ### Top-Performer **DEVCORE** ging als Sieger des diesjährigen **Pwn2Own Berlin** hervor und sicherte sich 50,5 Master of Pwn-Punkte und beträchtliche 505.000 US-Dollar an Belohnungen. Ihr Erfolg beruhte auf der Ausnutzung von Schwachstellen in **Microsoft SharePoint**, **Microsoft Exchange**, **Microsoft Edge** und **Windows 11**. **STARLabs SG** folgte mit 242.500 US-Dollar (25 Punkte) und **Out Of Bounds** sicherte sich den dritten Platz mit 95.750 US-Dollar (12,75 Punkte).  *Pwn2Own Berlin 2026 Rangliste* ### Bemerkenswerte Exploits Die höchste Einzelbelohnung von 200.000 US-Dollar ging an **Cheng-Da Tsai** (auch bekannt als **Orange Tsai**) vom **DEVCORE** Research Team für die Verkettung von drei Fehlern, um eine Remote Code Execution mit SYSTEM-Privilegien auf **Microsoft Exchange** zu erreichen. Am ersten Tag verdiente sich **Orange Tsai** auch 175.000 US-Dollar für einen **Microsoft Edge** Sandbox-Escape unter Verwendung von vier Logikfehlern. Zusätzlich sammelte **Valentina Palmiotti** (chompie) von **IBM X-Force** Offensive Research 70.000 US-Dollar für das Rooten von **Red Hat Linux** für Workstations und die Ausnutzung eines **NVIDIA** Container Toolkit Zero-Days. Weitere Exploits umfassten eine lokale Privilegienerweiterung in **Windows 11**, eine Root-Privilegienerweiterung in **Red Hat Enterprise Linux** für Workstations und Zero-Days in mehreren KI-Coding-Agenten. Ein Speicherbeschädigungsfehler wurde ebenfalls zur Ausnutzung von **VMware ESXi** verwendet. ### Offenlegungs-Zeitplan Nach **Pwn2Own** haben die Anbieter ein 90-tägiges Zeitfenster, um Sicherheitspatches zu entwickeln und zu veröffentlichen. Nach diesem Zeitraum wird **TrendMicro's Zero Day Initiative (ZDI)** die Details der Schwachstellen öffentlich bekannt geben. Beim **Pwn2Own Berlin** im letzten Jahr gewann **STAR Labs SG**, wobei **ZDI** 1.078.750 US-Dollar für 29 Zero-Day-Schwachstellen und einige Bug-Kollisionen vergab. [article image](https://www.bleepstatic.com/c/p/validation-gap.jpg) ## Die Validierungslücke: Automatisiertes Pentesting beantwortet eine Frage. Sie benötigen sechs. Automatisierte Pentesting-Tools liefern echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln ausgelöst werden oder Ihre Cloud-Konfigurationen standhalten. Diese Anleitung behandelt die 6 Oberflächen, die Sie tatsächlich validieren müssen. [Download Now](https://hubs.li/Q048zztN0)