Google honorierte den Fund einer kritischen Sicherheitslücke in Chrome mit 250'000 US-Dollar – der Höchstsumme im eigenen Prämienprogramm. Wie "
Golem" berichtet, betrifft die Schwachstelle CVE-2025-4609, die am 14. Mai mit Chrome 136 behoben wurde. Der Konzern stufte sie als "hoch" ein, in der
Tenable-Datenbank erhielt sie einen CVSS-Score von 9,8, was praktisch "kritisch" entspricht.
Die Lücke steckte laut Mitteilung in Mojo, Googles Bibliothek für Interprozesskommunikation (IPC). Unter bestimmten Bedingungen wurde ein falsches "Handle" (Zugriffskennzeichen für Ressourcen) vergeben – so liess sich die Sandbox umgehen. Der Entdecker, ein Sicherheitsforscher namens Micky, veröffentlichte einen
detaillierten Bericht samt funktionierendem Exploit. Als Nachweis startete er auf dem Zielsystem die Rechner-App. Hinweise deuten darauf hin, dass der Fehler auf Windows beschränkt war.
Weil es sich um einen Sandbox-Escape mit hohem Risiko handelt und der Report inklusive Exploit aussergewöhnlich hochwertig war, zahlte
Google die maximal vorgesehene Prämie aus. Nutzer sollten sicherstellen, dass Chrome ab Version 136 installiert ist, um gegen diese Schwachstelle geschützt zu sein.
(dow)
