Google heeft een beloning van 250.000 dollar betaald voor een ernstige kwetsbaarheid in Chromium. Door een probleem in de mojo/ipcz-transportlaag was via een gecompromitteerd rendererproces een sandboxontsnapping mogelijk.
Google werd in april op de hoogte gesteld van het probleem, dat geregistreerd is onder CVE-2025-4609. Het bedrijf besloot in mei een beloning van 250.000 dollar uit te keren, het maximale bedrag voor een sandboxontsnapping in het Chrome Vulnerability Rewards Program. Google kende dit naar eigen zeggen toe vanwege de complexiteit, de duidelijke analyse en de werkende exploit. Vorige week werden de details vrijgegeven.
De bug werkte omdat de waarde header.destination_type uit inkomende berichten blind gebruikt werd door de Transport::Deserialize-functie. Een hacker kon hierdoor doen alsof hij een vertrouwd brokerproces was door hier kBroker in te vullen. Vervolgens konden hackers via de renderer RelayMessage gebruiken om OS-handles naar andere processen te sturen.
Omdat de handlewaarde van het browserproces niet bekend was, moesten hackers vervolgens meermaals RelayMessage met een handlewaarde van 4 tot 1000 sturen. Het browserproces accepteerde deze verzoeken door de valse brokerstatus. Het proces dupliceerde de gevraagde handles en stuurde ze terug naar de renderer. Met een privileged handle konden aanvallers vervolgens code injecteren of acties uitvoeren buiten de sandbox.