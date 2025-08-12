Исследователь под ником Micky получил рекордное вознаграждение от компании Google. Специалист обнаружил баг в Chrome, который позволяет обойти песочницу браузера, и заработал 250 000 долларов США по программе bug bounty.

Уязвимость, получившая идентификатор CVE-2025-4609, была найдена еще в апреле 2025 года. После этого проблему исправили в середине мая, с релизом Chrome 136 (в том числе в других Chromium-браузерах, включая Edge, Opera, Vivaldi, Brave). Теперь разработчики Google раскрыли детали.

Ошибка затрагивала библиотеку ipcz Mojo — компонент Chrome, который управляет взаимодействием внутренних процессов браузера.

Специалисты Google классифицировали проблему как высокоопасную (high severity). Они описывают CVE-2025-4609 как «очень сложный логический баг», а отчет исследователя характеризуют как качественный, с хорошим анализом, отмечая, что к нему прилагался работающий эксплоит для демонстрации обхода песочницы.

По словам самого исследователя, его PoC-эксплоит позволял осуществить обход песочницы и выполнить системную команду (для демонстрации проблемы он запускал калькулятор) с успешностью 70–80%. Фактически Micky нашел способ манипулировать внутренними процессами Chrome и дублировать родительский процесс браузера, чтобы запустить вредоносный код.

Как правило, эксплуатация таких уязвимостей требует, чтобы жертва посетила вредоносный сайт, используя уязвимую версию Chrome.

Стоит отметить, что 250 000 долларов — это максимальная сумма, которую Google готова выплатить за уязвимости, связанные с побегом из песочницы Chrome. Причем на такую выплату можно рассчитывать лишь в том случае, если отчет о баге написан на высшем уровне и сопровождается демонстрацией удаленного выполнения кода.

Полученное Micky вознаграждение является одной из самых крупных выплат по программе bug bounty Google за все время ее существования, уступая лишь награде в размере 605 000 долларов, выплаченной в 2022 году ИБ-исследователю под ником gzobqq за серию из пяти уязвимостей в Android.