Google beloont onderzoeker met 250.000 dollar voor melden van Chrome-lek
Google heeft een beveiligingsonderzoeker voor een kwetsbaarheid in Chrome een beloning van 250.000 dollar uitgekeerd. Het is één van de hoogste bug bounties die het techbedrijf ooit heeft uitgeloofd. De kwetsbaarheid (CVE-2025-4609) bevindt zich in de pcz library van Mojo, een onderdeel van de browser waardoor interne processen met elkaar kunnen communiceren. Via het lek kan een aanvaller uit de sandbox van de browser breken. Het is niet mogelijk om via alleen deze kwetsbaarheid code op het onderliggende systeem uit te voeren. Hiervoor zou een tweede beveiligingslek zijn vereist.
Google kwam in mei met een beveiligingsupdate voor het probleem. Details over het beveiligingslek zijn nu door het techbedrijf openbaar gemaakt. Daarin staat ook de beloning die de onderzoeker voor zijn bugmelding kreeg, namelijk 250.000 dollar. Het techbedrijf besloot vorig jaar de beloningen voor bugmeldingen in Chrome te verhogen. Een "Sandbox escape / Memory corruption / RCE in a non-sandboxed process" kan worden beloond met 250.000 dollar, mits de bugmelding van een gedetailleerd rapport en proof-of-concept exploit is voorzien.
In dit geval kwam de onderzoeker, genaamd Micky, met een werkende exploit waardoor het mogelijk is om systeemcommando's in het browserpoces uit te voeren. Google bedankt de onderzoeker voor zijn melding en stelt dat de beloning bedoeld is om dit soort onderzoekers aan te moedigen dergelijk onderzoek uit te voeren. De hoogste beloning die Google tot nu toe als onderdeel van de bugbountyprogramma's heeft uitgekeerd is een bedrag van 605.000 dollar voor een een niet nader genoemd Android-probleem.
Hoe zou jij dat aanpakken, als je het resultaat van een hoop maanden hard werken wilt verkopen ?
Het is dus , zoals we weten minimaal 250K waard.
Ga je naar dat darkweb , en roep je dat een chrome break out exploit hebt .
Je hebt hetzelfde probleem als al die drugsdealers, waar film regisseurs (en "echie") zo dol op zijn - mannen, auto's , koffer drugs, koffers geld .
Voorkomen dat je geript wordt . Voorkomen dat je nep-dope koopt met echt geld. Voorkomen dat je echte dope levert voor nep-geld .
Hoe bewijs jij de koper dat je exploit echt is - zonder het weg te geven ?
Hoe krijg je geld (of bitcoins) als je de exploit geleverd hebt ? - en , vanuit de koper gezien - hoe voorkom je dat je wel de bitcoins geeft maar het exploit niet krijgt .
Iets met een waarde van tonnen is duur genoeg om een koper/verkoper voor te bedriegen .
Of te laten afpersen ,
Vooral van die eerlijke nette mensen op het darkweb .
Dus schets eens hoe jij dat denkt te doen .
Hoe zou jij dat aanpakken, als je het resultaat van een hoop maanden hard werken wilt verkopen ?
Het is dus , zoals we weten minimaal 250K waard.
Ga je naar dat darkweb , en roep je dat een chrome break out exploit hebt .
Je hebt hetzelfde probleem als al die drugsdealers, waar film regisseurs (en "echie") zo dol op zijn - mannen, auto's , koffer drugs, koffers geld .
Voorkomen dat je geript wordt . Voorkomen dat je nep-dope koopt met echt geld. Voorkomen dat je echte dope levert voor nep-geld .
Hoe bewijs jij de koper dat je exploit echt is - zonder het weg te geven ?
Hoe krijg je geld (of bitcoins) als je de exploit geleverd hebt ? - en , vanuit de koper gezien - hoe voorkom je dat je wel de bitcoins geeft maar het exploit niet krijgt .
Iets met een waarde van tonnen is duur genoeg om een koper/verkoper voor te bedriegen .
Of te laten afpersen ,
Vooral van die eerlijke nette mensen op het darkweb .
Dus schets eens hoe jij dat denkt te doen .
En met zijn reputatie zal hij gevraagd worden om als security-onderzoeker te komen werken, voor een meer-dan-beginners salaris.
En met zijn reputatie zal hij gevraagd worden om als security-onderzoeker te komen werken, voor een meer-dan-beginners salaris.
Voor het kabilber mensen die dit kan is 250K , zeker in de VS net een jaarsalaris , of een salaris voor 9 maanden ofzo
"een paar jaar hobbyen" - je kunt er inderdaad (in een goedkopere regio - niet Silicon Valley) een paar jaar gewoon zorgeloos van leven, maar met dit niveau is het niet meer nodig om _nog meer_ reputatie op te bouwen . Die kan gewoon melden beschikbaar te zien en een heel ruim salaris (of consultancy fee) invullen. take it or leave it.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?