Jedan istraživač je dobio najveću nagradu u Google-ovom programu za prijavu ranjivosti u Chrome-u za exploit koji omogućava izlazak iz sandbox okruženja uz daljinsko izvršavanje koda.
Ranjivost, označena kao CVE-2025-4609, prijavljena je Google-u 22. aprila od strane istraživača koji koristi pseudonim „Micky“. Problem je zakrpljen sredinom maja u ažuriranju Chrome-a 136, a Google je sada javno objavio detalje.
Bezbjednosni propust, koji utiče na Mojo sistem za međuprocesnu komunikaciju u Chrome-u, dobio je od Google-a oznaku „visokog nivoa ozbiljnosti“.
Istraživač je naveo da je njegov PoC exploit omogućio izlazak iz sandbox-a i izvršavanje sistemskih komandi — kao demonstraciju pokrenuo je aplikaciju kalkulatora — uz stopu uspjeha od 70-80%.
Iskorišćavanje ovakvih bezbjednosnih propusta obično zahtijeva da meta posjeti maliciozni veb sajt.
Iznos od 250.000 dolara predstavlja maksimalnu nagradu koju Google isplaćuje za ranjivost koja omogućava izlazak iz Chrome sandbox-a, ali se ona može dobiti samo uz prijavu visokog kvaliteta koja uključuje demonstraciju daljinskog izvršavanja koda.
Google je opisao CVE-2025-4609 kao „veoma složen logički propust i visokokvalitetan izvještaj sa funkcionalnim exploitom, uz dobru analizu i demonstraciju izlaska iz sandbox-a“.
Google je ranije ove godine saopštio da je tokom 2024. isplatio ukupno 12 miliona dolara kroz svoje bug bounty programe, a najveća pojedinačna nagrada tada je iznosila 110.000 dolara.
Izvor: SecurityWeek
