## Pwn2Own Berlin 2026: Highlights des ersten Tages Der Wettbewerb **Pwn2Own Berlin 2026** begann mit einer Flut von Aktivitäten, bei denen Sicherheitsexperten ihre Fähigkeiten durch die Ausnutzung einer breiten Palette von Software- und Hardwarezielen demonstrierten. Die Veranstaltung, die sich auf Unternehmenstechnologien und künstliche Intelligenz konzentriert, findet vom 14. bis 16. Mai auf der OffensiveCon-Konferenz statt. ## Edge Sandbox Escape sichert Top-Preis **Orange Tsai** stach hervor, indem er 175.000 US-Dollar für die Verkettung von vier Logikfehlern zur Erreichung eines Sandbox-Escapes in **Microsoft Edge** verdiente. Diese beeindruckende Leistung unterstreicht die Komplexität und die potenziellen Auswirkungen von verketteten Schwachstellen. > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlslrhjrvc2s">Auf BlueSky ansehen</a> ## Windows 11 unter Beschuss **Windows 11** wurde von drei verschiedenen Teams erfolgreich angegriffen: * **Angelboy** und **TwinkleStar03** (im Rahmen des **DEVCORE** Internship Program) * **Marcin Wiązowski** * **Kentaro Kawane** von **GMO Cybersecurity** Jedes Team erhielt 30.000 US-Dollar für die Demonstration neuer Privilege-Escalation-Zero-Days im Betriebssystem. > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlsterlyhk2d">Auf BlueSky ansehen</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlsyezpkyc2m">Auf BlueSky ansehen</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltgpmo7ac2p">Auf BlueSky ansehen</a> ## Linux- und Container-Exploits **Valentina Palmiotti** (chompie) von **IBM X-Force Offensive Research (XOR)** hatte einen erfolgreichen Tag und sammelte 20.000 US-Dollar für das Rooten von **Red Hat Linux for Workstations** und weitere 50.000 US-Dollar für ein Zero-Day im **NVIDIA Container Toolkit**. > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltebpvjlc2p">Auf BlueSky ansehen</a> > <a href="http://bsky.app/profile/thezdi.bsky.social/post/3mlsm3vbvks2s">Auf BlueSky ansehen</a> ## Schwachstellen in KI/ML-Plattformen aufgedeckt Mehrere Schwachstellen wurden in KI- und Machine-Learning-Plattformen gefunden, darunter: * **k3vg3n**: Legte **LiteLLM** ($40.000) durch die Verkettung von 3 Fehlern lahm. * **Satoki Tsuji** und **haehae**: Nutzten **NVIDIA Megatron Bridge** Zero-Days aus ($20.000). * **Compass Security** und **maitai** von **Doyensec**: Hackten den **OpenAI Codex** Coding Agent (jeder verdiente 40.000 US-Dollar). * **haehae**: Entdeckte ein **Chroma** Zero-Day ($20.000). * **STARLabs SG**: Fand ein **LM Studio** Zero-Day ($40.000). > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlso3j67ns2s">Auf BlueSky ansehen</a> > <a href="http://bsky.app/profile/thezdi.bsky.social/post/3mlsottlmak2s">Auf BlueSky ansehen</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltcik6cvs2w">Auf BlueSky ansehen</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlst4byglc2d">Auf BlueSky ansehen</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlswuldquc2m">Auf BlueSky ansehen</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlt5kuba622z">Auf BlueSky ansehen</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltheam2ps2p">Auf BlueSky ansehen</a> ## Rangliste Derzeit führt das **DEVCORE Research Team** den Wettbewerb mit 205.000 US-Dollar an, gefolgt von **Valentina Palmiotti** mit 70.000 US-Dollar. ## Ziele des zweiten Tages Am zweiten Tag werden die Teilnehmer Zero-Days in **Microsoft SharePoint**, **Microsoft Exchange**, **Windows 11**, **Apple Safari**, **Cursor**, **Red Hat Enterprise Linux for Workstations**, **LM Studio**, **OpenAI Codex**, **LiteLLM**, **Anthropic Claude Code** und **Mozilla Firefox** ins Visier nehmen. ## Pwn2Own Regeln und Auswirkungen Forscher, die vollständig gepatchte Produkte in verschiedenen Kategorien angreifen, können über 1.000.000 US-Dollar in bar und Preisen gewinnen. Alle angegriffenen Geräte laufen mit den neuesten Betriebssystemversionen, und die Einsendungen müssen das Ziel kompromittieren und die Ausführung von beliebigem Code demonstrieren. Die Anbieter haben 90 Tage Zeit, Sicherheitskorrekturen zu veröffentlichen, nachdem die Fehler offengelegt wurden. Im letzten Jahr vergab **TrendMicro's Zero Day Initiative** 1.078.750 US-Dollar für 29 Zero-Day-Schwachstellen.  ## Die Validierungslücke: Automatisierte Pentests beantworten eine Frage. Sie brauchen sechs. Automatisierte Pentest-Tools liefern echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln auslösen oder Ihre Cloud-Konfigurationen standhalten. Diese Anleitung behandelt die 6 Oberflächen, die Sie tatsächlich validieren müssen. [Jetzt herunterladen](https://hubs.li/Q048zztN0)