Pwn2Own Berlin 2023'te 47 Sıfırıncı Gün Güvenlik Açığı Keşfedildi Siber Güvenlik

Pwn2Own Berlin 2023'te 47 Sıfırıncı Gün Güvenlik Açığı Keşfedildi

Pwn2Own Berlin'de 47 sıfırıncı gün güvenlik açığı bulundu, araştırmacılar 1,3 milyon dolar ödül kazandı.

Pwn2Own Berlin 2023'te güvenlik araştırmacıları, 47 adet sıfırıncı gün (zero-day) güvenlik açığı keşfederek yaklaşık 1,3 milyon dolar ödül kazandı. TrendAI'nin Zero Day Initiative (ZDI) sponsorluğunda 14-16 Mayıs tarihleri arasında düzenlenen üç günlük etkinlik, 505.000 dolar ile en büyük ödülü kazanan Devcore ekibi tarafından domine edildi. Bu yılki yarışma, kurumsal odaklı olup AI veritabanları, kodlama ajanları, yerel çıkarımlar ve NVIDIA ürünleri gibi hedeflere yönelikti.

Yarışmanın öne çıkan anları arasında, STARLabs SG'den Nguyen Hoang Thach'ın VMware ESXi'de çapraz kiracı kod yürütme eklentisi ile bellek bozulması hatasını kullanarak 200.000 dolar kazanması yer aldı. Devcore Araştırma Ekibi'nden 'splitline', Microsoft SharePoint'te iki hatayı birleştirerek 100.000 dolar, Orange Tsai ise Microsoft Exchange'de üç hatayı birleştirerek sistem düzeyinde uzaktan kod yürütme sağladı ve 200.000 dolar kazandı. Ayrıca Orange Tsai, Microsoft Edge'de dört mantık hatasını birleştirerek sandbox kaçışı gerçekleştirdi ve 175.000 dolar ödül aldı.

Pwn2Berlin 2026, yapay zeka odaklı olarak planlanıyor. Bu yılki Berlin etkinliği, OffensiveCon gösterisinde düzenlendi ve yapay zeka veritabanları (Chroma, Postgres pgvector, Oracle Autonomous AI Database) ile ilk kez kodlama ajanları (Cursor, Claude Code, OpenAI Codex) gibi yeni hedeflere odaklandı. ZDI'nin tehdit farkındalık başkanı Dustin Childs, 'Bir noktada hepimiz vibe kodlamışızdır. Bunda utanılacak bir şey yok, ancak vibe kodlama için kullandığımız araçlar ne kadar güvenli?' diyerek yarışmanın önemini vurguladı.

Ayrıca, büyük dil modelleri (LLM) alanındaki birçok önemli isim (Ollama, LiteLLM, LM Studio, Llama.cpp) etkinlikte yer aldı. NVIDIA tarafında ise yarışmacılar, şirketin Megatron Bridge, NV Container Toolkit ve Dynamo ürünlerini hacklemeye çalıştı. Keşfedilen güvenlik açıkları, ilgili satıcılara sorumlu bir şekilde bildirilecek ve güvenlik güncellemeleri için 90 gün süre tanınacak. Bu süre sonunda ZDI, açıkları kamuoyuna duyuracak.

Paylaş: