Корпорація Google досягла історичного рубежу у своїй програмі винагород за виявлення уразливостей, виплативши 250,000 доларів США дослідникові безпеки під псевдонімом Micky. Ця сума стала максимально можливою винагородою за виявлення критичної уразливості, що дозволяла обійти систему ізоляції (sandbox) браузера Chrome.
Технічний аналіз уразливості CVE-2025-4609
Виявлена у квітні 2025 року уразливість CVE-2025-4609 представляє собою критичну загрозу безпеці, яка вразила бібліотеку ipcz Mojo – фундаментальний компонент архітектури Chrome. Ця бібліотека відповідає за керування міжпроцесною комунікацією всередині браузера, що робить її особливо привабливою мішенню для кіберзлочинців.
Фахівці з безпеки Google класифікували дану уразливість як високого рівня критичності, охарактеризувавши її як “надзвичайно складний логічний дефект”. Особливу цінність для компанії становив детальний звіт дослідника, який містив не лише глибокий технічний аналіз проблеми, а й функціональний експлойт, що демонстрував реальні можливості обходу захисних механізмів.
Механізм атаки та рівень загрози
Створений дослідником proof-of-concept експлойт показав ефективність у 70-80% випадків, що є надзвичайно високим показником для атак такого типу. Уразливість дозволяла зловмисникам маніпулювати внутрішніми процесами Chrome, створюючи дублікати батьківського процесу браузера для виконання шкідливого коду.
Для демонстрації критичності загрози Micky використав запуск системного калькулятора, що наочно показало можливість виконання довільних команд поза межами захищеного середовища браузера. Така атака вимагає лише одного кліку користувача на спеціально підготовлений веб-сайт при використанні вразливої версії Chrome.
Швидке реагування та усунення загрози
Команда безпеки Google продемонструвала зразкову швидкість реагування на критичні інциденти. Уразливість була ліквідована вже у середині травня 2025 року з випуском Chrome версії 136. Виправлення також торкнулося інших браузерів на базі Chromium, включаючи Microsoft Edge, Opera, Vivaldi та Brave.
Критерії отримання максимальної винагороди
Виплата у розмірі 250,000 доларів являє собою верхню межу винагород, які Google надає за уразливості категорії “обхід ізольованого середовища”. Для отримання такої суми дослідники повинні відповідати суворим вимогам: звіт має бути виконаний на найвищому професійному рівні та обов’язково супроводжуватися демонстрацією віддаленого виконання коду.
Це вознаграждення входить до топ найбільших виплат в історії bug bounty програми Google. Абсолютний рекорд досі належить дослідникові gzobqq, який у 2022 році отримав 605,000 доларів за виявлення п’яти критичних уразливостей в операційній системі Android.
Цей випадок яскраво ілюструє ефективність програм винагород за виявлення уразливостей як інструменту забезпечення кібербезпеки. Співпраця з незалежними дослідниками дозволяє технологічним гігантам оперативно виявляти та усувати критичні загрози до їх потенційного використання кіберзлочинцями. Користувачам настійно рекомендується своєчасно оновлювати браузери до найновіших версій для максимального захисту від відомих загроз безпеки.
