Ένας ερευνητής ασφαλείας κέρδισε $250.000 από την Google για την αναφορά ενός κρίσιμου κενού ασφαλείας στο Google Chrome, το οποίο επέτρεπε σε επιτιθέμενους να ξεφύγουν από το sandbox του browser. Το ποσό αυτό αποτελεί νέο ρεκόρ πληρωμής από την Google για αποκάλυψη ευπάθειας.
Η ευπάθεια, με κωδική ονομασία CVE-2025-4609, αναφέρθηκε στις 22 Απριλίου από τον ερευνητή που είναι γνωστός ως Micky. Αφορούσε το σύστημα επικοινωνίας διεργασιών Mojo του Chrome και βαθμολογήθηκε ως υψηλής σοβαρότητας από την Google. Το πρόβλημα διορθώθηκε στα μέσα Μαΐου με την κυκλοφορία του Chrome 136, ενώ οι λεπτομέρειες έγιναν τώρα δημόσιες.
«Συγχαρητήρια! Η επιτροπή του Chrome Vulnerability Rewards Program αποφάσισε να σας απονείμει $250.000 για αυτή την αναφορά», ανέφερε η ομάδα της Google.
Ένα πολύπλοκο bug με υψηλό ρίσκο
Το proof-of-concept exploit του Micky πέτυχε απόδραση από το sandbox και εκτέλεση εντολών συστήματος, επιδεικνύοντας το άνοιγμα της εφαρμογής υπολογιστή, με ποσοστό επιτυχίας περίπου 70–80%. Η Google τόνισε ότι η εκμετάλλευση θα απαιτούσε ο χρήστης-στόχος να επισκεφθεί κακόβουλο ιστότοπο.
Η ανταμοιβή των $250.000 είναι η μέγιστη δυνατή για απόδραση από το Chrome sandbox και απονέμεται μόνο για αναφορές υψηλής ποιότητας που περιλαμβάνουν επίδειξη απομακρυσμένης εκτέλεσης κώδικα. Η Google χαρακτήρισε την ευπάθεια ως «πολύπλοκο λογικό σφάλμα» και αναγνώρισε την εξαιρετική ανάλυση και τον λειτουργικό κώδικα που παρείχε ο Micky.
Νέο ρεκόρ για τα Chrome bug bounties
Το 2024, η Google κατέβαλε συνολικά $12 εκατομμύρια μέσω των bug bounty προγραμμάτων της, με τη μεγαλύτερη αμοιβή τότε να φτάνει τα $110.000. Η νέα πληρωμή θέτει πλέον νέο ρεκόρ για τις ανταμοιβές που σχετίζονται με το Chrome.
Ακολουθήστε το XplayGR στο Google News για να μαθαίνετε πρώτοι όλες τις εξελίξεις από τον χώρο του gaming και της ψυχαγωγίας.
Δείτε όλες τις τελευταίες ειδήσεις στο XplayGR.com.
