Google hat einen neuen Meilenstein in seinem Bug-Bounty-Programm erreicht und einem Sicherheitsforscher mit dem Pseudonym „Micky“ die Rekordprämie von 250.000 US-Dollar für die Entdeckung einer kritischen Schwachstelle im Chrome-Browser ausgezahlt. Diese Summe repräsentiert die maximale Belohnung, die das Unternehmen für Sandbox-Bypass-Vulnerabilitäten gewährt.
Analyse der kritischen Schwachstelle CVE-2025-4609
Die im April 2025 identifizierte Sicherheitslücke CVE-2025-4609 betraf die ipcz Mojo-Bibliothek, eine zentrale Komponente von Chrome, die für die Kommunikation zwischen internen Browser-Prozessen verantwortlich ist. Google-Experten klassifizierten die Vulnerabilität als hochkritisch und beschrieben sie als „extrem komplexen logischen Bug“.
Besonders wertvoll war der detaillierte Forschungsbericht von Micky, der nicht nur eine gründliche Analyse der Schwachstelle lieferte, sondern auch einen funktionsfähigen Exploit zur Demonstration des Sandbox-Umgehungsmechanismus beinhaltete. Diese Qualität des Berichts war entscheidend für die Höhe der Belohnung.
Technische Details des Exploits und Sicherheitsrisiken
Der von Micky entwickelte Proof-of-Concept-Exploit erreichte eine Erfolgsquote von 70-80 Prozent beim Umgehen der Chrome-Sandbox. Die Schwachstelle ermöglichte es Angreifern, interne Browser-Prozesse zu manipulieren und den übergeordneten Prozess zu duplizieren, um schädlichen Code auszuführen.
Zur Demonstration der kritischen Natur der Vulnerabilität nutzte der Forscher den Start des Windows-Taschenrechners, was eindrucksvoll die Möglichkeit zur Ausführung beliebiger Befehle außerhalb der Browser-Sandbox bewies. Ein Angriff hätte lediglich erfordert, dass Nutzer eine speziell präparierte Website mit einer verwundbaren Chrome-Version besuchen.
Schnelle Reaktion und Patch-Deployment
Google demonstrierte exemplarische Reaktionsgeschwindigkeit bei der Behebung dieser kritischen Bedrohung. Die Schwachstelle wurde bereits Mitte Mai 2025 mit der Veröffentlichung von Chrome Version 136 geschlossen. Das Update erstreckte sich auch auf andere Chromium-basierte Browser wie Microsoft Edge, Opera, Vivaldi und Brave.
Kriterien für maximale Bug-Bounty-Auszahlungen
Die Belohnung von 250.000 Dollar stellt die Höchstsumme dar, die Google für Sandbox-Bypass-Vulnerabilitäten zahlt. Für solche Prämien gelten strenge Anforderungen: Der Sicherheitsbericht muss höchste professionelle Standards erfüllen und zwingend eine Demonstration der Remote-Code-Ausführung enthalten.
Historische Einordnung im Google Bug-Bounty-Programm
Mickys Belohnung reiht sich unter die größten Auszahlungen in der Geschichte des Google Bug-Bounty-Programms ein. Den absoluten Rekord hält weiterhin Forscher „gzobqq“, der 2022 605.000 Dollar für die Entdeckung von fünf kritischen Android-Schwachstellen erhielt.
Dieser Fall unterstreicht die fundamentale Bedeutung von Bug-Bounty-Programmen als effektives Instrument der proaktiven Cybersicherheit. Die Zusammenarbeit mit unabhängigen Sicherheitsforschern ermöglicht es Technologieunternehmen, kritische Schwachstellen zu identifizieren und zu beheben, bevor sie von Cyberkriminellen ausgenutzt werden können. Anwender sollten ihre Browser stets auf dem neuesten Stand halten, um sich vor bekannten Sicherheitsbedrohungen zu schützen.
