La compensació més gran que havia donat Google fins ara en el seu programa de recompenses era de 110.000 dòlars.

Un investigador de seguretat ha obtingut una generosa suma per trobar una vulnerabilitat crítica a Chrome que es pot explotar per escapar de la zona protegida del famós navegador web.

Chrome separa el codi de les pàgines web del nucli del navegador mitjançant un sistema d’aïllament anomenat sandbox, perquè el contingut d’un web no pugui executar accions perilloses a l’ordinador.

La fallada descoberta afectava la manera com Chrome gestiona la comunicació entre processos (Mojo IPC). A causa d’un error de validació, un procés que hauria d’estar aïllat (el renderer) podia enganyar el sistema per obtenir privilegis d’un procés amb més permisos (el browser).

Amb aquests privilegis, era possible executar codi fora del sandbox i, per tant, interactuar amb el sistema operatiu sense restriccions. A la prova de concepte, l’investigador va aconseguir obrir la calculadora, però en un atac real es podria instal·lar codi maliciós o accedir a informació delicada. La falla tindria una taxa d’èxit del 70 al 80 %. 

Generalment, aquest tipus de forats només es poden explotar si l’usuari objectiu visita un lloc web maliciós. 

La falla, identificada com a CVE-2025-4609, va ser informada a Google el 22 d’abril. L’empresa de Mountain View va aconseguir solucionar-la a mitjans de maig, va actualitzar Chrome 136 i ja n’ha compartit els detalls. 

Des de l’empresa de la gran G han qualificat el problema que afecta el sistema de comunicació entre processos Mojo de Chrome com una vulnerabilitat d’«alta gravetat». 

Una fita quant a recompenses

El descobridor de la troballa va ser un investigador anomenat ‘Micky’, que ja ha passat a la història per aconseguir la recompensa individual més abundant de les atorgades per Google: 250.000 dòlars. Per embutxacar-se aquesta xifra calia incloure un informe d’alta qualitat amb una demostració d’execució remota de codi. 

Fins ara la recompensa individual més alta que s’havia proporcionat per trobar una bretxa de seguretat al Chrome Vulnerability Reward (VRP) era de 110.000 euros. En total, la firma tecnològica va pagar l’any passat 12 milions de dòlars als especialistes que van trobar aquest tipus de forats de seguretat.

Google parla de CVE-2025-4609 com un «error lògic molt complex» i justifica la generosa compensació per tractar-se d’«un bug extremadament complex, presentat amb un informe d’alta qualitat i acompanyat d’una prova funcional (PoC) que demostrava completament l’evasió del sandbox.» 

«Aquesta és una feina increïble i el tipus d’investigador que volem premiar amb aquest tipus de recompenses i incentivar la inversió futura en aquest tipus de recerca», afegeix.