Pwn2Own Berlin 2026: 24 Zero-Day-Lücken in gängiger Software aufgedeckt
Erster Tag des Pwn2Own Berlin 2026: 24 bisher unbekannte Sicherheitslücken in gängiger Software aufgedeckt
Am ersten Tag des Pwn2Own Berlin 2026 entdeckten Sicherheitsforscher 24 bisher unbekannte Schwachstellen – sogenannte Zero-Day-Lücken – in weitverbreiteter Software. Insgesamt wurden 22 Beiträge eingereicht, wobei die Teilnehmer mehr als eine halbe Million US-Dollar an Prämien erhielten. Der Wettbewerb legte kritische Sicherheitsmängel in gängigen Plattformen und Anwendungen offen.
Das DEVCORE Research Team übernahm früh die Führung und sicherte sich insgesamt 205.000 US-Dollar. Allein Orange Tsai, ein Mitglied des Teams, erhielt 175.000 US-Dollar für einen Sandbox-Ausbruch in Microsoft Edge. Damit platzierte sich das Team am Ende des ersten Tages an der Spitze der Bestenliste.
Windows 11 stand dreimal im Fokus der Angriffe – jeder der erfolgreichen Forscher erhielt 30.000 US-Dollar für seine Exploits. Zwei unabhängige Teams kompromittierten zudem jeweils den KI-Coding-Agenten Codex von OpenAI und erhielten dafür jeweils 40.000 US-Dollar.
Zu den weiteren Höhepunkten zählte k3vg3n, der drei Schwachstellen kombinierte, um LiteLLM zu knacken, wofür er 40.000 US-Dollar kassierte. Valentina Palmiotti von IBM X-Force Offensive Research sammelte 70.000 US-Dollar für zwei Zero-Day-Lücken. STARLabs SG sicherte sich 40.000 US-Dollar für eine Schwachstelle in LM Studio, während Satoki Tsuji von Ikotas Labs eine Lücke in der NVIDIA Megatron Bridge ausnutzte und dafür 20.000 US-Dollar erhielt.
Bis zum Ende des ersten Tages hatten die Forscher gemeinsam 523.000 US-Dollar an Prämien eingestrichen. Der Wettbewerb deckte erhebliche Sicherheitsrisiken in hochkarätiger Software auf, darunter Browser, KI-Tools und Betriebssysteme. Die Ergebnisse unterstreichen die anhaltenden Herausforderungen bei der Absicherung weitverbreiteter Technologien.
