Windows 11 i Edge Zero-Day ranjivosti na Pwn2Own Berlin 2026
Sigurnosni istraživači demonstrirali su žive, funkcionalne exploite protiv Microsoft Edgea i Windows 11 prvog dana Pwn2Own Berlin 2026, zaradivši pritom više od 500.000 dolara nagradnog novca. Za svakodnevne korisnike i IT administratore, ovi rezultati više su od kompetitivne ljestvice. Označavaju početak obveznog 90-dnevnog odbrojavanja tijekom kojeg te ranjivosti ostaju nekrpirane i potencijalno iskoristive. Razumijevanje što je demonstrirano i što možete učiniti odmah praktični je prioritet.
Što su istraživači iskoristili na Pwn2Own Berlin 2026
Pwn2Own jedno je od najuglednijih sigurnosnih natjecanja u industriji. Organizira ga Zero Day Initiative tvrtke Trend Micro, a poziva elitne istraživače da demonstriraju prethodno nepoznate ranjivosti protiv potpuno zakrpanog, produkcijski spremnog softvera. Exploiti koji uspiju pod ovim uvjetima pravi su zero-dayevi: propusti koje dobavljači još nisu ispravili i o kojima, u nekim slučajevima, možda čak nisu ni znali.
Na berlinskom događaju 2026., istraživači su uspješno kompromitirali i Microsoft Edge i Windows 11. Format natjecanja zahtijeva potpune, funkcionalne demonstracije umjesto teorijskih dokaza, što znači da su ovo stvarni lanci napada, a ne spekulativni rizici. Ciljevi usmjereni na poduzeća dominirali su natjecanjem, odražavajući koliko su visoki ulozi za organizacije koje u velikom opsegu koriste Microsoftov softverski skup.
Nakon što se ranjivost demonstrira na Pwn2Ownu, Zero Day Initiative je otkriva pogođenom dobavljaču i pokreće 90-dnevni sat. Microsoft mora objaviti zakrpu unutar tog roka. Ako zakrpa ne stigne na vrijeme, detalji postaju javni bez obzira na sve.
Zašto je 90-dnevni rok za zakrpu stvarni rizik izloženosti
Devedeset dana zvuči kao razuman rok, ali stvara specifičnu i neugodnu stvarnost: sada je poznato da ranjivost postoji, proof-of-concept kod demonstriran je pred publikom, a zakrpa još nije dostupna. U tom jazu se nakuplja rizik.
Zabrinutost nije čisto teorijska. Sigurnosni istraživači i prijetećí akteri pažljivo prate rezultate Pwn2Owna. Čak i bez javnog pisanog opisa, saznanje da pouzdan exploit postoji za Edge ili Windows 11 mijenja okruženje prijetnji. Sofisticirani akteri mogu neovisno otkriti ili aproksimirati istu ranjivost. Insajdersko znanje o općoj napadačkoj površini znatno sužava pretragu.
Za poduzetničke okoline, ovo razdoblje zahtijeva pojačano praćenje i kompenzacijske kontrole. Za kućne korisnike, to znači da standardni savjet — držite Windows ažuriranim — privremeno nije dovoljan jer još ne postoji ažuriranje koje bi rješavalo ove specifične propuste.
Kako VPN-ovi i slojevita sigurnost smanjuju vašu napadačku površinu dok čekate
Zaštita Windows 11 zero-day ranjivosti putem VPN-a nije čarobni štapić, ali je smislen sloj obrane upravo u ovakvim prijelaznim razdobljima. Evo zašto pomaže.
Mnogi scenariji iskorištavanja zahtijevaju da napadač promatra vaš promet, ubacuje podatke u vašu vezu ili se pozicionira između vas i udaljenog poslužitelja. VPN šifrira vaš promet prije nego napusti vaš uređaj i usmjerava ga kroz sigurni tunel, odsjekavši nekoliko uobičajenih vektora napada na razini mreže. Dok VPN ne može zakrpiti ranjivost operacijskog sustava, može znatno otežati napadaču da je iskoristi na daljinu putem nepouzdane mreže.
To je najvažnije kada ste na javnom Wi-Fiju, gostinskim korporativnim mrežama ili bilo kojoj vezi kojom ne upravljate u potpunosti. Postavljanje VPN-a na Windowsima traje manje od deset minuta i dodaje smislenu zaštitu od mrežne komponente mnogih lanaca exploita.
Osim korištenja VPN-a, slojevita sigurnost tijekom zero-day prozora trebala bi uključivati onemogućavanje značajki koje aktivno ne trebate, ograničavanje dozvola preglednika i razmatranje treba li vam pogođeni preglednik kao zadani za osjetljive zadatke. Šifriranje DNS upita putem DNS over HTTPS također smanjuje informacije dostupne svima koji prate vašu vezu, što može ograničiti mogućnosti izviđanja za potencijalne napadače.
Reddit sigurnosna zajednica primijetila je, u kontekstu sličnih SSL VPN zero-day ranjivosti, da su slojevita sigurnost i praćenje mrežnog ponašanja jedine pouzdane privremene obrane kada zakrpe nisu dostupne. Taj princip izravno se primjenjuje i ovdje.
Trenutni koraci koje korisnici Windowsa trebaju poduzeti odmah
Dok Microsoft radi na zakrpi, postoje konkretne radnje koje vrijedi poduzeti danas.
Prvo primijenite sva postojeća ažuriranja. Demonstrirani zero-dayevi su nekrpirani, ali to ne znači da je vaš sustav ažuran po svemu ostalome. Pokrenite Windows Update i osigurajte da je Edge na najnovijem izdanju. Smanjivanje ukupne napadačke površine važno je čak i kad jedan specifičan propust ostaje otvoren.
Dodajte VPN u svoju svakodnevnu rutinu. Šifrirani promet teže je presresti i manipulirati njime. Ako ga već ne koristite, ovo je praktičan trenutak za početak. Naš vodič za postavljanje VPN-a na Windowsima prolazi kroz ugrađeni Windows VPN klijent i opcije trećih strana kako biste mogli odabrati ono što odgovara vašem postavu.
S Edgeom postupajte s dodatnim oprezom dok zakrpa ne bude objavljena. Razmislite o korištenju alternativnog preglednika za visoko osjetljive zadatke poput internetskog bankarstva ili pristupa poslovnim sustavima, barem dok Microsoft ne potvrdi da je ispravak dostupan.
Pratite Microsoftov vodič za sigurnosna ažuriranja. Kada zakrpa za ranjivosti otkrivene na Pwn2Ownu bude objavljena, tamo će se pojaviti prva. Tretirajte to ažuriranje kao hitno i primijenite ga odmah.
Omogućite vatrozid i pregledajte dozvole aplikacija. Windows Defender vatrozid trebao bi biti aktivan. Provjerite koje aplikacije imaju mrežni pristup i opozvite dozvole za sve što ne prepoznajete ili aktivno ne koristite.
90-dnevni prozor će se zatvoriti, a Microsoft ima snažan rekord rješavanja nalaza Pwn2Owna unutar roka. Do tada, jaz je stvaran i vrijedi ga ozbiljno shvatiti. Dodavanje šifriranog tunela kao privremene mjere jedno je od najjednostavnijih i najučinkovitijih zaštita dostupnih korisnicima Windowsa upravo sada.
