Un investigador de seguridad ha obtenido la máxima recompensa del programa de recompensas por errores de Google Chrome tras descubrir una vulnerabilidad grave que permitía un escape del sandbox combinado con ejecución remota de código.

La falla, identificada como CVE-2025-4609, fue reportada a Google el 22 de abril por un investigador conocido en línea como Micky. Google lanzó un parche a mediados de mayo dentro de la actualización de Chrome 136, y ahora ha hecho públicos los detalles técnicos.

Según Google, la vulnerabilidad se encontraba en el sistema de comunicación entre procesos Mojo de Chrome y recibió una calificación de alta gravedad. El exploit de prueba de concepto desarrollado por Micky logró evadir las restricciones del sandbox de Chrome y ejecutar comandos en el sistema —demostrado al abrir la aplicación de la calculadora— con una tasa de éxito del 70–80%.

Generalmente, la explotación de este tipo de vulnerabilidades requiere que la víctima visite un sitio web malicioso especialmente diseñado.

La recompensa de $250,000 es el monto máximo que Google otorga por vulnerabilidades de escape del sandbox en Chrome, pero solo se concede si la presentación incluye un informe detallado de alta calidad, un exploit funcional con ejecución remota de código y un análisis técnico exhaustivo.

En su comunicado oficial, Google describió a CVE-2025-4609 como “un error lógico muy complejo” y elogió la presentación por ofrecer “un exploit funcional, con un sólido análisis y una clara demostración de un escape del sandbox”.

A principios de este año, Google informó que en 2024 pagó 12 millones de dólares a través de sus programas de recompensas por vulnerabilidades, siendo en ese momento el pago más alto de $110,000 — lo que convierte a esta recompensa de $250,000 en un nuevo hito para la investigación de seguridad en Chrome.

Fuente: https://www.securityweek.com/chrome-sandbox-escape-earns-researcher-250000