Google ha concedido una recompensa histórica de $250,000 al investigador de seguridad conocido como Micky por descubrir una vulnerabilidad crítica en la arquitectura del navegador Chrome. Esta vulnerabilidad facilitaba que sitios web maliciosos escaparan de la protección del sandbox de Chrome, permitiendo la ejecución de código arbitrario en los sistemas de las víctimas.
Una recompensa histórica
El fallo se debió a un error en el sistema de Comunicación Inter-Procesos de Chrome, particularmente dentro del mecanismo de transporte IPCZ. Según los detalles proporcionados, el error se encontraba en la función Transport::Deserialize, donde el sistema no validaba adecuadamente los parámetros header.destination_type antes de crear objetos de transporte. Esto permitía que un proceso de renderizado malicioso manipulase este parámetro para hacerse pasar por un proceso de broker privilegiado.
El vector de ataque requerido un proceso multi-paso en el que un renderizador comprometido enviaba mensajes manipulativos para tomar control de los recursos del proceso del navegador. La prueba de concepto del exploit demostró la capacidad de eludir el sandbox duplicando handles de procesos de navegador privilegiados, lo que incluía permisos completos para ejecutar comandos del sistema.
La decisión de otorgar una recompensa tan elevada refleja no solo la sofisticación del exploit, sino también el compromiso de Google en incentivar la investigación en seguridad, especialmente en áreas críticas de su navegador. La vulnerabilidad fue divulgada responsablemente el 22 de abril de 2025, y el equipo de seguridad de Google, liderado por Alex Gough, implementó correcciones en mayo de 2025. Estas incluían la eliminación de la confianza transitiva de los transportes y la implementación de una validación más estricta de la confiabilidad de los puntos finales dentro del sistema IPCZ.
Este acontecimiento subraya la importancia de la colaboración entre investigadores de seguridad y empresas tecnológicas para mantener la integridad y seguridad de las plataformas digitales.
