Die seit 2007 stets im kanadischen Vancouver ausgetragene Frühjahrsausgabe des Hacker-Wettbewerbs Pw2own hat in der vorherigen Woche zum ersten Mal in Berlin stattgefunden. Gastgebende Veranstaltung war diesmal die IT-Sicherheitskonferenz OffensiveCon im Hilton Hotel am Gendarmenmarkt. Veranstalter des Pwn2own war wie immer Trend Micro ZDI. Traditionell sind bei der Pwn2own im Frühjahr vor allem Browser und Betriebssysteme Ziele der Hacker. Das hat sich in den letzten Jahren gewandelt: Firefox ist als letzter Browser übrig geblieben und zweimal gehackt worden.
Zunächst sind am Freitag Edouard Bochin und Tao Yan als Team von Palo Alto Networks mit einem Exploit einer Javascript-Lücke erfolgreich gewesen (CVE-2025-4920). Für ihren Firefox-Hack haben sie 50.000 US-Dollar Preisgeld erhalten und das Notebook, auf dem sie ihre Kunst vorführen mussten. Am Samstag ist Manfred Paul vom RedRocket-Team der Hochschule Bonn-Rhein-Sieg angetreten, der beim Pwn2own-Wettbewerb im Vorjahr Gesamtsieger („Master of Pwn“) geworden war. Auch er hat einen Javascript-Exploit (CVE-2025-4921) genutzt, um Firefox zu hacken und die gleiche Prämie erhalten.
Wie schon in früheren Jahren waren die Mozilla-Experten vor Ort, um gleich nach einem erfolgreichen Hack die Exploit-Details in Empfang zu nehmen. Weitere Entwickler waren in Bereitschaft und so konnte Mozilla wieder als einziger Software-Hersteller bereits am letzten Tag der Veranstaltung Firefox-Updates bereitstellen, mit denen die bis dahin nicht bekannten Schwachstellen beseitigt werden.
▶Die neuesten Sicherheits-Updates
Mozillas Sicherheitsbericht 2025-36 weist für Firefox 138.0.4 zwei als kritisch eingestufte Sicherheitslücken aus und nennt die Teilnehmer des Pwn2own-Wettbewerbs als deren Entdecker. Auch die ESR-Ausgaben Firefox 115 (nur für Windows 7 und 8 sowie macOS 10.12 bis 10.14) und 128 erhalten Updates: In Firefox 115.23.1 und Firefox ESR 128.10.1 sind dieselben Lücken gestopft wie in Firefox 138.0.4. Am 27. Mai will Mozilla Firefox 139 veröffentlichen.
Das Tor Projekt hatte mit Tor Browser 13.5.17 zunächst nur für Nutzer der veralteten Systeme (Windows 7 und 8 sowie macOS 10.12 bis 10.14) eine abgesicherte Version im Angebot. Sie basiert auf Firefox ESR 115.23.1. Doch Tor Browser 14.5.2 für aktuelle Betriebssysteme einschließlich Linux und Android ist inzwischen auch fertig und steht zum Update bereit. Dieser basiert auf Firefox ESR 128.10.1.
Tipp: Unabhängig davon, dass Sie Ihren Browser stets aktuell halten, sollten Sie die Sicherheit Ihres PCs zusätzlich mit geeigneter Antivirus-Software verbessern. Gute Antivirus-Lösungen stellen wir in „Die besten Antivirus-Programme 2025 im Test: So schützen Sie Ihren Windows-PC“ vor. Falls Sie großen Wert auf anonymes Surfen legen, sind wiederum gute VPN-Programme einen Blick wert.
Neben Firefox haben die Teilnehmer des Hacker-Wettbewerbs auch Windows 11, VirtualBox, VMware ESXi und Workstation, Microsoft SharePoint, Red Hat Enterprise Linux und Docker Desktop erfolgreich aufs Korn genommen. Neu war diesem Jahr die Kategorie „AI“ (Artificial Intelligence), in der allerdings nicht etwa ChatGPT & Co zu hacken waren. Vielmehr ging es um die Systeme, auf denen solche „KI“-Modelle laufen, etwa Nvidias Triton Inference Server, der gleich ein halbes Dutzend Mal unter die Räder kam.
Gesamtsieger („Master of Pwn“) ist in diesem Jahr das Team STAR Labs SG aus Singapur geworden. Neben 320.000 US-Dollar Preisgeld haben sie auf der Heimreise auch einen Stapel Notebooks im Gepäck. Insgesamt haben die Veranstalter um Dustin Childs 1.078.750 Dollar an Preisgeldern verteilt sowie 28 neue Sicherheitslücken eingekauft und an die jeweiligen Software-Hersteller weitergereicht.
