Morten Lyhne Petersen
Sikkerhedsforskere udnyttede 24 ukendte sårbarheder for samlet 523.000 dollar på første dag af Pwn2Own.
Den årlige hacker-konkurrence Pwn2Own åbnede torsdag den 14. maj 2026 ved OffensiveCon i Berlin med en stribe nye angreb på Microsoft Edge, Windows 11 og kerneteknologier fra NVIDIA. På et enkelt døgn demonstrerede 22 forskerhold i alt 24 hidtil ukendte sårbarheder, populært kaldet zero-days, og indkasserede 523.000 dollar i præmier, oplyser arrangøren Zero Day Initiative.
En zero-day er en fejl, som producenten endnu ikke kender til, og som derfor ikke er lukket med en sikkerhedsopdatering. I tiden frem til en rettelse er klar, har angribere et åbent vindue til at udnytte sårbarheden.
Edge faldt efter fire fejl i kæde
Det største enkeltbeløb gik til Cheng-Da Tsai, kendt under aliasset Orange Tsai, fra det taiwanske forskerhold DEVCORE. Han kædede fire logiske fejl sammen og slap ud af det sikkerhedslag, der ellers skal isolere Microsoft Edge fra resten af systemet. Bedriften udløste 175.000 dollar.
DEVCORE-holdet stod også bag det første af tre angreb på Windows 11. Forskerne Angelboy og TwinkleStar03 brugte en fejl i adgangskontrollen til at hæve deres rettigheder på operativsystemet og indkasserede 30.000 dollar. Senere på dagen lykkedes det også polske Marcin Wiązowski med en heap buffer overflow og japanske Kentaro Kawane fra GMO Cybersecurity med to use-after-free-fejl at tage kontrollen over Windows 11.
AI-platforme og NVIDIA i skudlinjen
Konkurrencen havde i år en særskilt kategori for kunstig intelligens. Schweiziske Compass Security, hackeren k3vg3n og singaporeanske STARLabs SG indkasserede hver 40.000 dollar for angreb på henholdsvis OpenAI Codex, LiteLLM og LM Studio.
Chompie fra IBM X-Force XOR fik 50.000 dollar for en sårbarhed i NVIDIA Container Toolkit og yderligere 20.000 dollar for et race condition-angreb på Red Hat Enterprise Linux.
“I dag indtog 22 hold Pwn2Own-scenen for at angribe AI-databaser, kodeagenter og lokal inferens,” skriver ZDI’s talsmand Dustin Childs i dagens officielle opgørelse.
Hvad det betyder for almindelige brugere
De fundne sårbarheder er nu overdraget til de berørte producenter, der har 90 dage til at frigive en rettelse, før detaljerne offentliggøres. Indtil da er det vigtigste råd til private brugere af Windows 11 og Edge at sikre sig, at automatisk opdatering er slået til.
Edge opdaterer sig selv, så længe man lukker og genåbner browseren jævnligt, og Windows 11 henter rettelser automatisk via Windows Update. NVIDIA Container Toolkit, som IBM-forskeren Chompie knækkede, bruges primært i serverdrift og er ikke installeret på almindelige forbrugermaskiner.
Pwn2Own Berlin fortsætter til og med lørdag den 16. maj 2026 med flere produkter på programmet, blandt andet Apple Safari, Microsoft SharePoint og virtualiseringssoftwaren VMware ESXi.
