Google наградила наградой в 250 000 долларов за обнаружение уязвимости Chrome RCE

Компания Google назначила рекордное вознаграждение в размере 250 000 долларов США исследователю безопасности «Мики» за обнаружение критической уязвимости удаленного выполнения кода в архитектуре браузера Chrome.

Уязвимость позволяла вредоносным сайтам обходить защиту «песочницы» Chrome и выполнять произвольный код на зараженных системах.

Это открытие представляет собой одну из самых крупных индивидуальных выплат в истории Программы вознаграждений за уязвимости Google, что отражает сложный характер эксплойта и его потенциал широкомасштабного воздействия.

Уязвимость транспорта IPCZ

Уязвимость использовала фундаментальный недостаток системы межпроцессного взаимодействия (IPC) Chrome, в частности, в механизме передачи драйверов IPCZ.

Ошибка была обнаружена в функции Transport::Deserialize, где система не могла должным образом проверить параметры header.destination_type перед созданием транспортных объектов.

Вредоносный процесс рендеринга может манипулировать этим параметром, передавая kBroker в качестве типа назначения, фактически выдавая себя за привилегированный процесс брокера.

Вектор атаки включал сложный многоэтапный процесс, в ходе которого скомпрометированный рендерер отправлял брокеру сообщение RequestIntroduction, а затем запрос ReferNonBroker с вредоносным транспортом, содержащим поддельный заголовок kBroker.

Затем рендерер может отправлять запросы RelayMessage со значениями дескрипторов в диапазоне от 4 до 1000, используя предсказуемую систему распределения дескрипторов Windows.

Поскольку значения дескрипторов Windows увеличиваются с 4, злоумышленники могут систематически перебирать потенциальные дескрипторы потоков, чтобы получить контроль над ресурсами процесса браузера.

Доказательство концепции эксплойта продемонстрировало успешный выход из «песочницы» путем дублирования привилегированных дескрипторов процессов браузера, включая дескрипторы потоков с разрешениями полного управления (DUPLICATE_SAME_ACCESS | DUPLICATE_CLOSE_SOURCE).

Функциональный код эксплойта исследователя продемонстрировал возможность выполнения системных команд, таких как start calc, в контексте процесса браузера, эффективно обходя многопроцессную архитектуру безопасности Chrome.

Рекордная награда в 250 000 долларов

Комиссия Google Chrome VRP обосновала беспрецедентное вознаграждение в размере 250 000 долларов США, подчеркнув сложность уязвимости и качество представленной исследователем работы.

Группа отметила, что это представляет собой «очень сложную логическую ошибку и высококачественный отчет с функциональным эксплойтом», который продемонстрировал возможности полного выхода из песочницы.

Эта награда отражает стремление Google стимулировать проведение первоклассных исследований в области безопасности, нацеленных на наиболее важные механизмы безопасности Chrome.

Уязвимость была ответственно раскрыта 22 апреля 2025 года, а команда безопасности Google под руководством Алекса Гофа разработала и внедрила исправления во все каналы выпуска Chrome к маю 2025 года .

Исправление включало отказ от транзитивного доверия в транспортах и реализацию более строгой проверки надежности конечных точек в системе драйверов IPCZ.

Патч был успешно внедрен в версии Chrome M136 и M137 с учетом последствий для стабильности сложной многопроцессной архитектуры браузера.