聚焦源代码安全,网罗国内外最新资讯!
谷歌最近披露的一个 Chromium 详述了研究人员在2025年4月23日发现的一个严重漏洞CVE-2025-4609。该漏洞被归类为Chrome浏览器沙箱逃逸漏洞,可造成严重风险。
最初,研究员将该漏洞评级为中危,但经过评估后,谷歌工程师认为它极其危险,因此将其评级为最高严重等级S0/S1且其修复优先级为P1。
从描述来看,该漏洞位于渲染进程中,一个IPCZ错误可导致该渲染器复用浏览器进程句柄,使其逃逸沙箱并绕过旨在保护 Chrome 的多个安全边界。
谷歌在5月发布的一次 Chrome 更新中修复了该漏洞,随着90天期限的截止,该漏洞的技术详情已公开,供安全研究员分析相关利用。
对于发现该漏洞的研究人员而言,该漏洞回报颇丰。经过全面评估后,谷歌认为该漏洞影响力巨大且技术复杂性高,因此按照Chrome 漏洞奖励计划发放了最高奖励25万美元。
一般而言,Chroem 安全漏洞的赏金范围是数千美元。这次25万美元的赏金是该计划能够给出的最高赏金,至少是十年内颁发的最高赏金。Chrome 漏洞奖励计划指南提到,沙箱逃逸和沙箱外的内存损坏漏洞可获得的赏金范围是2.5万美元至25万美元,而最高赏金会颁发给包括可运行RCE PoC的高质量报告,其它进程和内存损坏漏洞的最高赏金是8.5万美元。25万美元的赏金极其少见,而它正凸显了所提交漏洞报告质量上乘和漏洞严重性极高。
https://securityonline.info/record-breaking-payout-google-awards-250000-for-a-critical-chrome-flaw-cve-2025-4609/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~