Компания Google установила новый рекорд выплат по программе bug bounty, вознаградив исследователя безопасности под псевдонимом Micky суммой в 250,000 долларов США за обнаружение критической уязвимости в браузере Chrome. Данная выплата стала максимально возможной наградой за уязвимости, связанные с обходом песочницы браузера.
Детали обнаруженной уязвимости CVE-2025-4609
Критическая уязвимость, получившая идентификатор CVE-2025-4609, была выявлена исследователем в апреле 2025 года. Проблема затрагивала библиотеку ipcz Mojo — ключевой компонент Chrome, отвечающий за управление взаимодействием между внутренними процессами браузера.
Специалисты Google классифицировали данную уязвимость как высокоопасную (high severity) и охарактеризовали её как «очень сложный логический баг». Особую ценность представлял качественный отчёт исследователя, который включал детальный анализ проблемы и работающий эксплойт для демонстрации возможности обхода песочницы.
Механизм эксплуатации и потенциальные риски
Разработанный Micky proof-of-concept эксплойт демонстрировал успешность обхода песочницы на уровне 70-80%. Исследователь обнаружил способ манипулирования внутренними процессами Chrome, позволяющий дублировать родительский процесс браузера для запуска вредоносного кода.
Для демонстрации критичности уязвимости исследователь использовал запуск системного калькулятора, что наглядно показывало возможность выполнения произвольных команд в обход защитных механизмов браузера. Эксплуатация такой уязвимости требует от злоумышленника лишь заманить жертву на специально подготовленный веб-сайт при использовании уязвимой версии Chrome.
Оперативное устранение угрозы
Google продемонстрировала высокую скорость реагирования на критические угрозы безопасности. Уязвимость была устранена уже в середине мая 2025 года с выпуском Chrome версии 136. Исправление также коснулось других браузеров на основе Chromium, включая Microsoft Edge, Opera, Vivaldi и Brave.
Условия получения максимального вознаграждения
Выплата в размере 250,000 долларов представляет собой максимальную сумму, которую Google готова предоставить за уязвимости класса «обход песочницы». Для получения такого вознаграждения необходимо соблюдение строгих критериев: отчёт должен быть написан на высочайшем профессиональном уровне и обязательно сопровождаться демонстрацией удалённого выполнения кода.
Контекст в истории программы bug bounty Google
Полученное Micky вознаграждение входит в топ самых крупных выплат за всю историю существования программы bug bounty от Google. Абсолютный рекорд по-прежнему принадлежит исследователю gzobqq, который в 2022 году получил 605,000 долларов за обнаружение серии из пяти критических уязвимостей в операционной системе Android.
Данный случай подчёркивает важность программ bug bounty как эффективного инструмента обеспечения кибербезопасности. Сотрудничество с независимыми исследователями безопасности позволяет технологическим гигантам оперативно выявлять и устранять критические уязвимости до их потенциального использования злоумышленниками. Пользователям рекомендуется регулярно обновлять браузеры до актуальных версий для защиты от известных угроз безопасности.
