Windows 11 dan Microsoft Edge Sukses Dibobol di Ajang Pwn2Own Berlin 2026

Pada hari pertama kompetisi peretasan Pwn2Own Berlin 2026, para peneliti keamanan siber berhasil mengumpulkan total hadiah uang tunai sebesar $523.000 setelah sukses mengeksploitasi 24 kerentanan zero-day unik.

Ajang Pwn2Own tahun ini, yang digelar bersamaan dengan konferensi OffensiveCon (14–16 Mei 2026), secara khusus berfokus pada teknologi enterprise dan kecerdasan buatan (AI).

Eksploitasi Gemilang di Edge dan Windows 11

Sorotan utama pada hari pertama jatuh pada peneliti Orange Tsai. Ia berhasil membawa pulang hadiah tertinggi hari itu sebesar $175.000 setelah menggabungkan (chaining) empat logic bug untuk melakukan sandbox escape (lolos dari kotak pasir keamanan) pada peramban Microsoft Edge.

Sementara itu, sistem operasi Windows 11 sukses dibobol sebanyak tiga kali oleh berbagai tim, dengan masing-masing memenangkan hadiah $30.000 untuk demonstrasi zero-day eskalasi hak istimewa (privilege escalation):

• Angelboy dan TwinkleStar03 (bekerja sama dengan Program Magang DEVCORE).
• Marcin Wiązowski.
• Kentaro Kawane dari GMO Cybersecurity.

Serangan pada Infrastruktur Linux dan Tool AI

Tidak hanya ekosistem Microsoft yang menjadi target, infrastruktur Linux dan platform pengembangan AI juga berhasil diretas oleh para peserta:

• Valentina Palmiotti (chompie) dari IBM X-Force Offensive Research memenangkan $20.000 setelah sukses mendapatkan akses root di Red Hat Enterprise Linux for Workstations. Ia juga meraup tambahan $50.000 untuk eksploitasi zero-day di NVIDIA Container Toolkit.
• Alat-alat kecerdasan buatan terkemuka ikut tumbang, termasuk peretasan pada LiteLLM ($40.000), NVIDIA Megatron Bridge ($20.000), OpenAI Codex ($80.000 dibagi dua tim), Chroma ($20.000), dan LM Studio ($40.000).

Berkat performa yang luar biasa, Tim Riset DEVCORE saat ini memimpin klasemen kompetisi sementara dengan total $205.000, disusul oleh Valentina Palmiotti dengan $70.000.

Aturan Ketat dan Tenggat Waktu Perbaikan

Sesuai dengan aturan Pwn2Own, semua perangkat dan perangkat lunak target dijalankan pada versi sistem operasi terbaru yang sudah ditambal penuh (fully patched). Peserta diwajibkan untuk mampu membuktikan kompromi sistem dan mendemonstrasikan eksekusi kode arbitrer.

Setelah kelemahan zero-day ini diungkapkan secara tertutup selama kompetisi berlangsung, para vendor—termasuk Microsoft, Apple, Red Hat, dan NVIDIA—diberikan waktu tenggang selama 90 hari untuk mengembangkan dan merilis pembaruan keamanan sebelum detail kerentanan tersebut dipublikasikan ke khalayak umum.