Een kwetsbaarheid in Google Chrome waardoor het mogelijk was om uit de sandbox van de browser te breken heeft de twee onderzoekers die het probleem vonden en rapporteerden 20.000 dollar opgeleverd. Het beveiligingslek was aanwezig in het onderdeel van Chrome dat video's verwerkt.

Door een "Use after free" in dit onderdeel had een aanvaller code binnen de browser kunnen uitvoeren. Google heeft de kwetsbaarheid als high bestempeld. Ook beveiligingslekken om uit de Chrome-sandbox te breken vallen in deze categorie. De sandbox van Chrome moet voorkomen dat aanvallers via een kwetsbaarheid in de browser meteen code op het systeem kunnen uitvoeren. De kwetsbaarheid die de sandbox escape mogelijk maakte is zelf ook niet voldoende om een systeem te compromitteren en zal met een tweede beveiligingslek moeten worden gecombineerd.

Het beveiligingslek werd gevonden door onderzoekers Leecraso en Guang Gong van securitybedrijf Qihoo 360. De onderzoekers wisten eerder dit jaar al samen twee kritieke kwetsbaarheden in Googles browser te vinden waardoor een aanvaller systemen had kunnen overnemen. Leecraso laat aan SecurityWeek weten dat de sandbox escape eenvoudig is te vinden en misbruiken, maar hij nog niet bekend is met daadwerkelijke aanvallen.

Voor hun bugmelding ontvingen de onderzoekers 20.000 dollar van Google. De beloning voor de twee kritieke kwetsbaarheden die Leecraso en Guang Gong eerder dit jaar aan Google rapporteerden zijn nog niet bekend. Afgelopen dinsdag verscheen er een beveiligingsupdate voor Chrome 85, die op de meeste systemen automatisch wordt geïnstalleerd.