【安全资讯】黑客在Pwn2Own大赛中利用VMware ESXi和Microsoft SharePoint零日漏洞

概要：

在2025年Pwn2Own柏林黑客大赛的第二天，参赛者成功利用多个产品中的零日漏洞，获得了总计43.5万美元的奖金。这些漏洞的利用不仅展示了当前网络安全的脆弱性，也引发了对企业技术安全的广泛关注。

主要内容：

在此次比赛中，来自STARLabs SG的Nguyen Hoang Thach成功利用VMware ESXi中的整数溢出漏洞，获得了15万美元的奖励。与此同时，Viettel Cyber Security的Dinh Ho Anh Khoa通过结合身份验证绕过和不安全反序列化缺陷的漏洞链，成功攻破了Microsoft SharePoint，获得了10万美元的奖金。

此外，Palo Alto Networks的研究人员展示了Mozilla Firefox中的越界写入零日漏洞，而STAR Labs SG的Gerrard Tai则利用使用后释放漏洞在Red Hat Enterprise Linux上提升了根权限。Viettel Cyber Security还利用另一个越界写入漏洞实现了Oracle VirtualBox的客户机到主机的逃逸。

此次Pwn2Own大赛首次引入了人工智能类别，安全研究人员有机会在多个领域中展示零日漏洞，争夺超过100万美元的奖励。比赛结束后，厂商有90天的时间发布安全修复，以应对在比赛中披露的零日漏洞。此次事件不仅突显了企业技术的安全隐患，也为网络安全领域的研究提供了重要的参考。