Google betaalt 250.000 dollar bugbounty voor ernstige kwetsbaarheid in Chromium

Google heeft een beloning van 250.000 dollar betaald voor een ernstige kwetsbaarheid in Chromium. Door een probleem in de mojo/ipcz-transportlaag was via een gecompromitteerd rendererproces een sandboxontsnapping mogelijk.

Google werd in april op de hoogte gesteld van het probleem, dat geregistreerd is onder CVE-2025-4609. Het bedrijf besloot in mei een beloning van 250.000 dollar uit te keren, het maximale bedrag voor een sandboxontsnapping in het Chrome Vulnerability Rewards Program. Google kende dit naar eigen zeggen toe vanwege de complexiteit, de duidelijke analyse en de werkende exploit. Vorige week werden de details vrijgegeven.

De bug werkte omdat de waarde header.destination_type uit inkomende berichten blind gebruikt werd door de Transport::Deserialize-functie. Een hacker kon hierdoor doen alsof hij een vertrouwd brokerproces was door hier kBroker in te vullen. Vervolgens konden hackers via de renderer RelayMessage gebruiken om OS-handles naar andere processen te sturen.

Omdat de handlewaarde van het browserproces niet bekend was, moesten hackers vervolgens meermaals RelayMessage met een handlewaarde van 4 tot 1000 sturen. Het browserproces accepteerde deze verzoeken door de valse brokerstatus. Het proces dupliceerde de gevraagde handles en stuurde ze terug naar de renderer. Met een privileged handle konden aanvallers vervolgens code injecteren of acties uitvoeren buiten de sandbox.

Door Imre Himmelbauer

Redacteur

11-08-2025 • 17:04

30

Submitter: BKJ

Reacties (30)

30
30
25
8
0
4
Wijzig sortering
Dat moet dan wel een flink lek zijn. Over het algemeen komen de meeste Chromium CVE bounties nog niet eens tot 10% van dit bedrag. Kan er helaas weinig details over vinden.

Voor de mensen die na dit lezen angstig zijn worden. Het lek is al gedicht in versie 136.0.7103.113 uitgekomen op 14 mei. Dus als je netjes je Chromium browser (Edge, Chrome, Brave etc) hebt geupdate heb je hier geen last meer van.

Sandbox escapes zijn wel vaker onderdeel van de 'high CVE' lekken in Chomium de laatste tijd. Blijf dus waakzaam en open niet zomaar allerhande linkjes. Ook zonder iets in te vullen/accepteren/downloaden kan het mis gaan. Windows Sandbox is overigens een leuke een zeer eenvoudige tool om met weinig tot geen risico twijfelachtige linkjes te bekijken.
Windows Sandbox is overigens een leuke een zeer eenvoudige tool om met weinig tot geen risico twijfelachtige linkjes te bekijken.
De bug uit dit artikel is nu net een perfect voorbeeld waarom ook sandboxing geen garantie is op een veilige werking.
In essentie is digitaal niks helemaal veilig, het is altijd de vraag hoe groot het risico is. Dus eigenlijk 'geen' met een asterisk. Een Adobe PDF en Chrome Sandbox is niet hetzelfde als bijvoorbeeld een VMware Workstation en al helemaal een 'Type 1 hypervisor' zoals Microsoft Hyper-V. Deze zijn een heel stuk lastiger te misbruiken.

Vrij recent is er nog wel een PoC uitgekomen van een escape uit een Virtualbox machine en heeft ESXi wat patches gekregen voor (theoretische) escapes. Dit zijn vaak wel exploits die niet zo maar uit te voeren zijn en veelal enkel in een gecontroleerde omgeving. Dit soort VM escapes zie je erg weinig en eigenlijk alleen in gerichte aanvallen. Omdat het veel tijd kost en dus ook veel moet opleveren. Vaak gebruiken ze andere, "eenvoudigere" middelen zoals het vergaren van hoge rechten dmv logins en/of tokens.

De meeste thuisgebruikers zullen op dit moment hooguit met zaken als Lumma en Vidar infostealers te maken krijgen. Die zijn gemaakt om zo snel mogelijk "basale" informatie door te sluizen. Niet om een backdoor te maken in een VM Sandbox. Wellicht een creatieve hacker die een RAT op je PC krijgt. Het mooie van Windows Sandbox is dat als je het venster sluit de VM wordt vernietigd. Dus dan moet hij/zij wel heel snel werken als je merkt dat de link rommel is.

Er zijn ook redelijk veel stukken malware die eerst checks doen of het in een VM draait. Waarna ze niet uitvoeren. Dus niks geks op een VM is geen garantie voor een malware-vrije applicatie. Dus vertrouw er zeker niet blind op.
Dit zie je bijvoorbeeld ook bij al die exploits zoals Retbleed of Downfall. Theoretische exploits die vooral in het lab werken of extreem bespoke voorbereiding nodig hebben, maar ondertussen vreten de mitigations wel 20-40% van onze CPU performance op 8)7
Vandaar dit soort programma's. Ik heb geen problemen met lekken in software, ik heb enkel problemen met software waar er geen moeite gedaan wordt om ze te vinden en op te lossen.
Dat moet dan wel een flink lek zijn. Over het algemeen komen de meeste Chromium CVE bounties nog niet eens tot 10% van dit bedrag. Kan er helaas weinig details over vinden.
Info: https://issues.chromium.org/issues/412578726
Dank je - scheelt weer het versie nummer opzoek van de gepatchte versie. Had wel handig geweest als dat gewoon in het artikel was opgenomen door Imre.
Ik moet well zeggen dat wanneer ik dit soort berichten zie ik een beetje een dubblegevoel heb. Aan de ene kant vindt ik het goed dat dit soort programma’s bestaan, en helpen ze zeker. Maar aan de andere kant zijn dit bugs waarvoor je in de grijze(Zie overheden, partijen zoals Pegasus) of in de zwarte markt gewoon miljoenen voor kan krijgen. Maar goed dat deze is gefixt en ge-reporteer zijn.
Dit is een vrij makkelijke keuze hoor. Als je deze kwaliteiten hebt, dan heb je sowieso een fatsoenlijke baan waarbij je minimaal 300k per jaar binnen haalt. Waarom zou je dan een risico nemen voor een relatief gezien, onbenullig bedrag. Leuk, een miljoen. Als die gene gewoon werkt, dan haalt 'ie dat over tijd binnen met alle zekerheden van dien.

Mensen die dit doen en verdienen, hebben echt geen dubbelgevoel.
Waarom vind je dat dubbel? Dat iemand moreel besef heeft en het liever rapporteert zodat het gefixt kan worden, in plaats van gaan voor het grote geld?

Of wat is er dubbel aan?
Ik vermoed dat het dubbele is dat de bedragen die Google hiervoor over heeft volgens Stetsed te laag zijn.

Daar staat tegenover dat met overheden sowieso niet valt te concurreren. Als er genoeg bug hunters zijn met normen en waarden geraken de meeste lekken gedicht. Maar ook daar: tegen overheden valt niet te concurreren. Ze zullen wel bugs vinden of introduceren als ze dat echt willen.
Ik blijf toch altijd een apart gevoel houden bij bugbounty programma's van gigantische bedrijven als Google. 250k voor een ernstige kwetsbaarheid in chromium kan enorme gevolgen hebben voor gebruikers, wat betekend dat dit soort bugs op de zwarte markt een veelvout voor betaald wordt. Tuurlijk; je wilt eigenlijk zo'n imago niet hebben. Maar het maakt het wel erg interessant voor veel mensen.


Ik vind dat bedrijven als Google ook eens hun verantwoordelijkheid moeten nemen. Ze bieden iets cruciaals aan, en daar mag gewoon niet iets fout gaan. Bugs houd je altijd; maar betaal dan wel zoveel uit dat het niet meer interessant wordt het op de zwarte markt te lekken.
Ik neem hierbij aan dat je geen developer bent. Ik heb een veelgebruikt product moeten uitbrengen van bovengemiddelde complexiteit (wat een browser zeker is) dat na uitgave niet meer gewijzigd kon worden. Ik kan je vertellen dat ik er nog net niet wakker van lag, maar het zat er dicht tegenaan.

Een bug-vrije browser maken is momenteel simpelweg onmogelijk. Het drijft per definitie op te veel bibliotheken (en eerlijk is eerlijk, het eco-systeem wordt steeds gekker op dat gebied). Er hoeft daarin maar 1 gaatje te zitten, of bibliotheken willen niet goed samenwerken of ... of ... of ...

En iedereen klaagt als het niet het max uit je computer haalt, dus veel is nog steeds C / C++ met alle risico's van dien. Ben blij dat dit weer eens geen buffer overrun is in ieder geval (nog even nagekeken voor de zekerheid maar klopt).
Een bug-vrije browser maken is momenteel simpelweg onmogelijk.
Ik schrijf nergens dat het mogelijk is een bug-vrij product te ontwikkelen. Bug-vrij bestaat namelijk niet. Ik vind alleen dat je als groot bedrijf je verantwoordelijkheid moet nemen als je iets essentieels ontwikkelt als chromium, en dus de vergoedingen aantrekkelijk genoeg moet zijn om het niet aan hackers te willen verkopen voor een aanzienlijk hoger bedrag.
Ik zie dat ik het niet goed gelezen heb.

Ik weet echt niet of het veel uitmaakt eerlijk gezegt en of je hier een wapenwedloop over wilt ontketenen. Uiteindelijk maken de hackers er geld mee en is het alleen een kostenpost voor Google, dus waar houd het op en wie is er meer op gebrand om te winnen? Veel onderzoekers zijn al aan de goede kant, vraag me af of je ze met een grotere bundel geld over weet te halen. En 250k lijkt me een redelijke pot geld voor een individu of twee.

Ik maak me meer zorgen over de kleinere bedragen voor de "minder belangrijke" bugs. Hier vielen wel heel veel muntjes de goede kant op voordat het volledige bedrag werd uitgekeerd. Ik kan me voorstellen dat je met 1/10e met alle kosten nog geen 2 maandsalarissen overhoud en meestal ben je best lang bezig met zo'n bug uitwerken. Of die white-hats het dan nog een keer willen doen is de vraag.

[Reactie gewijzigd door uiltje op 12 augustus 2025 15:52]

Opnieuw blijkt dat zelfs een gigant als Google kwetsbaar is voor simpele maar desastreuze logische fouten. Een onbevestigde destination_type leidde hier tot een volledige sandboxontsnapping — iets wat bij strakke code-review nooit had mogen gebeuren. Dat de bug in zo’n cruciale laag zat, maakt het extra pijnlijk. De snelle patch en hoge bounty zijn prijzenswaardig, maar het incident toont vooral dat fundamentele beveiligingsdiscipline niet optioneel is, zelfs bij topbedrijven.
Code reviews kunnen niet alles voorkomen. Stupid people make stupid bugs. Intelligent people make intelligent bugs. En ik kan je vertellen dat die laatsten stukken moeilijker te vinden zijn en ook nog duurder.
Tja, 250.000 is niets in vergelijking met de schade die hiermee voorkomen wordt. Daarnaast is zo'n bug bounty gewoon gokken, je kunt er als onderzoeker/developer geen brood mee verdienen. Geen enkele garantie dat Google je iets gaat betalen of uberhaupt betaalt in relatie tot de bestede tijd.
Tja, 250.000 is niets in vergelijking met de schade die hiermee voorkomen wordt. Daarnaast is zo'n bug bounty gewoon gokken, je kunt er als onderzoeker/developer geen brood mee verdienen. Geen enkele garantie dat Google je iets gaat betalen of uberhaupt betaalt in relatie tot de bestede tijd.
Er zijn toch genoeg mensen die professioneel bug bounty hunter zijn.

Zeker niet allemaal vinden ze dit soort lucratieve bugs. Maar als je genoeg bugs vind van een paar duizend euro dan is dat prima inkomen.

Geeft voor veel mensen ook voordelen, lekker thuis werken, geen gedoe met een baas, dus volledig eigen uren. Al zijn dat voor anderen weer grote nadelen.
Als je de reactie leest van de hunter dan is hij er erg blij mee en is het zijn grootste reward tot nu toe, hij gaat weer verder speuren.
Tja mss een hobby of gewoon iemand of groep die etisch denkt

Soort van de brandweer bellen als bij de buren rook te zien geroken is .Word je ook niet rijker van ,maar wel goed gevoel
Hadden ze niet beter 250k kunnen gooien op een paar security developers die precies het tegenovergestelde doen? Ipv. exploiten, voorkomen? Ala. meerdere security audits?
Een bug bounty programma is effectief gezien natuurlijk een constante stroom aan security audits. Waar je als bedrijf alleen voor hoeft te betalen als er iets gevonden is wat niet klopt, in plaats van telkens een leuk rapportje dat je code goed is.
Klopt, maar het betekent ook dat als je toevallig een lek tegenkomt (ik kijk zelden in browsercode, maar zo nu en dan is het nodig) het veel makkelijker wordt om ‘de juiste keuze’ te maken. Als je op de zwarte (of grijze) markt flink kunt cashen, maar zonder bugbountyprogramma niks krijgt voor de moreel juiste keuze, dan wordt die zwarte markt ineens best verleidelijk. Een bugbountyprogramma kan dan echt het verschil maken, zelfs als de beloning lager ligt dan op de zwarte markt.
Met 250k (per jaar, neem ik dan aan dat je bedoelt?) heb je er niet een paar, vrees ik.
Developers maken security fouten.
Auditors vinden security fouten.

De developers vragen om geen fouten meer te maken is alsof je bestuurders vraagt gewoon geen ongelukken meer te veroorzaken.
Alle (non-triviale) software bevat bugs.

Je kan dit door de complexiteit niet voorkomen, alleen verminderen en dat het best gebeuren door verschillende failsafes te hebben: competente developers, code reviews, security audits en bug bounty programs.

Zoek voor de grap maar eens op hoeveel regels code Chromium heeft.

En dat wordt dan nog gemaakt door verschillende teams met elk hun eigen specialisatie: Javascript rendering, sandboxing, Multimedia, UI,...

Een paar security experts extra inhuren is absoluut geen garantie op het vermijden van dit soort problemen.
Netjes dat ze boter bij de vis doen, dat is goed voor de reputatie van hun Vulnerability Rewards Program.
"Deserialize" lijkt me
Hoeveel zou zo'n kwetsbaarheid op de grijze markt waard zijn?

Op dit item kan niet meer gereageerd worden.