1 Punkte von GN⁺ 2025-08-12 | 1 Kommentare | Auf WhatsApp teilen
  • Das VRP-Belohnungsgremium von Chrome hat für die Meldung einer kürzlich entdeckten Sicherheitslücke eine Belohnung von 250.000 US-Dollar beschlossen.
  • Die gemeldete Schwachstelle ist ein Fehler in der ipcz-Komponente, bei dem ein Renderer die Handles des Browser-Prozesses klonen kann, wodurch ein Sandbox-Escape möglich wird.
  • Der betroffene Fehler wurde im Bereich Chromium > Internals > Mojo > Core gemeldet.
  • Diese Schwachstelle kann das Sicherheitsrisiko für Nutzer erhöhen.
  • Für diese Lücke läuft derzeit ein Patch über Codeänderungen.

Überblick über den Vorfall

  • Im Projekt Chromium wurde kürzlich eine extrem schwerwiegende Sicherheitslücke gemeldet.
  • Die Lücke liegt in der ipcz-Komponente und ermöglicht es einem Renderer, der in der Sandbox bleiben sollte, die Handles des Browser-Prozesses zu klonen und so aus der Sicherheitsisolation auszubrechen.
  • Dieses Verhalten stellt grundsätzlich eine Bedrohung für die Browser-Sandbox-Struktur dar.

Bedeutung der Chrome-VRP-Belohnungsentscheidung

  • Das Panel des Chrome Vulnerability Reward Program (Belohnungsprogramm) hat für diese Sicherheitsmeldung eine Belohnung von 250.000 US-Dollar beschlossen.
  • Diese Entscheidung berücksichtigt die Schwere der Schwachstelle sowie die Schwierigkeit ihrer Entdeckung und das potenzielle Schadensausmaß.
  • Sie zeigt das Bestreben, bei kritischen Sicherheitsfehlern aktiv auf großzügige Bug-Bounty-Prämien zu setzen.

Interne Vorfallbearbeitung

  • Der Vorfall wird in den Kategorien Internals>Mojo>Core und Internals>Mojo behandelt.
  • Mehrere zugehörige Codeänderungen sind erforderlich, darunter auch einige Gerrit-Commits.
  • Formale Prüfprozesse wie die Überprüfung von Design-Dokumenten laufen ebenfalls.

Patch und Auswirkungen

  • Das Problem befindet sich in der Bearbeitung und wird über Codeänderungen gepatcht.
  • Der Vorfall betrifft mehrere Chromium-Release-Milestones, und die Priorität für Sicherheitsupdates ist hoch.
  • Dieser Bug birgt das Risiko, dass die Sicherheitsbarrieren auf Nutzersystemen umgangen werden könnten.

Relevante Punkte und Reaktion

  • Für diesen Vorfall wurde außerdem ein IRM(Emergency Response Management)-Eintrag angelegt.
  • Details zu diesem Bug werden über verschiedene interne Verwaltungssysteme wie automatisch generierte Codeänderungen, verbundene Sicherheitsprobleme, Design-Reviews und Release-Management nachverfolgt und Zugriffsregeln angewendet.
  • Eine schnelle und wirksame Auslieferung von Sicherheits-Patches sowie eine zeitnahe Bekanntgabe an Community und Nutzer werden gefordert.

1 Kommentare

 
GN⁺ 2025-08-12
Hacker News Kommentar
  • Er hatte einen ziemlich belastbaren Exploit gegen einen der meistgenutzten Browser und meint, wenn er ihn auf dem Schwarzmarkt verkauft hätte, hätte er ohne Steuern deutlich mehr verdienen können. Da Tools wie EDR (Endpoint Detection and Response) inzwischen weit verbreitet sind und ein Exploit dadurch schneller entdeckt werden kann, halten manche es jedoch trotzdem für wahrscheinlich, dass solche Journalisten-Hacks von einigen Geheimdiensten autoritärer Staaten als lohnend betrachtet werden.
    • Die Frage ist, ob man auf dem Schwarzmarkt wirklich mehr ohne Steuern bekommen könnte, und wo und wie man verlässliche Kriminelle überhaupt findet. Transaktionen müssen auf Anonymität und Vertrauen beruhen; selbst wenn man Geld bekommt, entstehen neue Risiken wie Erpressung, und große Geldsummen sicher zu verbergen ist schwierig. Wie kann man einen Exploit also sicher verkaufen? Außerdem kann man dann nicht mal auf dem eigenen Blog schreiben, kann sich nicht bei Forschern oder Recruitern nennen und nimmt damit Karriere- und Reputationsnachteile in Kauf.
    • Dass man auf dem Schwarzmarkt automatisch mehr ohne Steuern verdient, ist kein Automatismus, eher das Gegenteil. Irgendwann fällt ein großer Zahlungseingang auf dem Bankkonto auf, und man muss dann wie bei normaler Besteuerung auch Geldwäsche betreiben – inklusive Gebühren für den Geldwäscher – was faktisch zu einer doppelten Belastung führen kann. Bei Kryptowährungen gilt ähnliches: Oft wird ein Nachweis verlangt, dass die Coins nicht aus illegalem Mining stammen, daher ist das kein einfacher Ausweg.
    • Viele schauen nur auf den Geldbetrag; ich würde mir wünschen, dass wir hier etwas anständiger agieren. Der potenzielle Gewinn öffnet vielen Kriminellen die Tür, Millionen von Menschen zu schädigen – das sollte man mitschwingen lassen.
    • Es gibt keinen garantierten, steuerfreien Mehrerlös auf dem Schwarzmarkt. Zur offiziellen Vergütung für Sandbox-Escape- bzw. -Bypass-Fälle in Chrome bis zu 200.000 USD wurde diese Präsentation (Folie 72) verlinkt. Diese Präsentation liegt auf GitHub; da GitHub aktuell down ist, gibt es außerdem einen Link zu reddit.
    • Solche Schwachstellen sind ein paar der seltenen Fälle mit einem aktiven Wiederverkaufsmarkt. Außerdem können diese Bugs mehrfach verkauft werden; es gibt sogar Firmen, die professionell an staatliche Geheimdienste oder Strafverfolgungsbehörden auf Länderebene verkaufen.
  • Für einen Sandbox-Escape-Bug und einen hochwertigen Report beträgt die Chrome-Belohnung 250.000 US-Dollar. Mozilla zahlt für dieselbe Schwachstelle nur 20.000 USD, was hier in den offiziellen Regeln und im Mozilla Bug Bounty-Programm gegenübergestellt wird.
    • Laut Wikipedia sind das etwa 0,012 % des Mozilla-Nettogewinns. Im Kommentar wurde angemerkt, dieser Vergleich sei nicht ideal, aber rein in Prozenten liegen wir auf rund dem 50-fachen Niveau von Google. (Der Originalvergleich war falsch gerechnet; korrigiert auf 0,012 % — 20.000 USD sind 0,012 % von 157.000.000, also 50-fach mehr als der Google-Anteil.)
    • Chrome hat 15 bis 20-mal mehr Nutzer als Firefox, daher steigen die Schwarzmarktpreise dort entsprechend. Safari hat möglicherweise noch höhere Preise, da viele Nutzer dort wohlhabender sind und weniger Sicherheitsbewusstsein mitbringen.
    • Betrachtet man die Finanzen beider Firmen, verdient Google eindeutig deutlich mehr als Mozilla.
    • Jemand wollte scherzhaft eine HN-Parodie schreiben, in der jeder sich wie ein Mozilla-CEO benimmt. Das Bild: Alle rennen ins Büro, um leidenschaftlich ihre Lieblingspolitik zu verteidigen (Datenschutz, Web-Standards, Performance, Erhöhung der Bug-Bounty-Prämien usw.), während im Hintergrund als Kontrast eine rote Linie im Slow-Motion-Mode stetig nach unten fällt (die sinkenden Umsätze).
    • Auch im Graumarkt würden die Vergütungen für Firefox-Schwachstellen wegen von Angebot und Nachfrage deutlich sinken.
  • Es wurde ein Kommentar geschrieben, der den Satz „Wir veröffentlichen das erst diese Woche und eröffnen das Thema fünf Tage vorher“ aufgreift und dadurch fast wie eine Anspielung auf Defcon wirkt.
  • Es wird betont, dass dieser Bug ein Logik-/Timing-Problem ist und kein reiner Rust-Sicherheitsgewinn; allein die Verwendung von Rust verhindert ihn nicht.
  • Jemand fragte, ob es eine einfache, gut verständliche Erklärung dafür gibt, was ein Sandbox-Escape-Bug genau ist – für Leute, die nicht genau wissen, wie in Browsern "Renderer", "Native API" und "Sandbox" funktionieren.
    • Zuerst ist es die Übernahme eines Renderer-Prozesses durch z. B. einen JavaScript-Engine-Bug. Der Renderer bleibt dabei aber weiterhin in der Sandbox gefangen. Der hier beschriebene Bug ist Schritt 2, also die eigentliche Sandbox-Escape-Phase. Die veröffentlichte patch.diff simuliert bereits einen gehackten Renderer-Prozess.
  • Der Kommentar zur Belohnung ist hier.
  • Einer äußerte Bewunderung über den Betrag, der angeblich ein Leben verändern könnte, und freute sich, solche Rewards zu sehen.
    • In Dänemark, wo ich lebe, reicht dieser Betrag selbst ohne Steuern nicht einmal für eine Ein-Zimmer-Wohnung.
    • Als ich meinen ersten Bonus von 240.000 USD bekam, dachte ich, mein Leben würde sich ändern – doch 100.000 USD gingen an Steuern. Nach 20.000 USD für ein Auto blieb nichts wirklich Großes übrig. Für die Immobilienpreise in LA/SF/NYC war es viel zu wenig, und auch für eine Startup-Gründung reichte es nicht. Hätte ich als Student gelebt, wäre 2–3 Jahre möglich gewesen, aber ich war schon 34 und wollte nicht in ein Studentenleben zurück. Am Ende änderte es mein Leben nicht wirklich, obwohl es natürlich großartig ist, so viel zu bekommen. Das war vor 25 Jahren, und selbst heute sind 100.000 USD nach Steuern (bei 250.000 USD Ausgangs-Betrag) in diesen drei Städten keine Summe, die ein Leben grundlegend wendet. Höchstens für Kautionen oder Studiengebühren der Kinder reicht es; die erhoffte Freiheit blieb aus.
    • Und wie immer hängt der Wert von dem Ort ab. In entwickelten Ländern sind 250.000 USD keine „life-changing“-Summe, eher etwas, das kurzfristige Sorgen nimmt. Nach Steuern bist du damit nicht in der Lage, ein Zuhause zu kaufen.
  • Bei großen Projekten Bugs zu finden ist wirklich beeindruckend – wie eine Nadel im Heuhaufen.
    • Große und komplexe Projekte haben viel Code, und viel Code bedeutet potenziell mehr Bugs, so dass es manchmal leichter ist als in kleinen Projekten. Bei schwerwiegenden Bugs wie Sandbox Escape ist es aber korrekt, dass sie schwer zu finden sind, weil Googles professionelles Belohnungsprogramm bereits dazu geführt hat, dass viele Menschen sie manuell und mit Fuzzer-Werkzeugen automatisiert analysiert haben. 2014 entdeckte ich zufällig einen Chrome-Bug (nicht absichtlich, ich habe nur JavaScript geschrieben und dabei das Problem gesehen), meldete ihn und bekam 1.500 USD. Dafür brauchte ich rund 30 Minuten. Dazu passender Link
    • Umgekehrt kann ein riesiges Projekt auch leichter zu finden sein, weil zwischen Komponenten oft unerwartete Interaktionen auftreten. Der Schlüssel ist, sich auf sicherheitskritische Grenzen zu konzentrieren – in diesem Fall die Kommunikation zwischen Renderer und Broker – und dort Edge Cases zu untersuchen. Google zahlt für genau diese Art Bugs hohe Belohnungen. Dass man sie findet, erfordert aber auch immer ein außergewöhnliches Können.
  • Die Auszahlungsdauer ist beeindruckend. In etwa vier Wochen war die Belohnung da; viele Firmen brauchen Monate nur, um einen Bug-Report überhaupt zu bestätigen.
  • Wenn DOJ nach einer Aufspaltung von Chrome eine neue Eigentümerstruktur erzwingen würde, ist fraglich, ob Bug-Bounties in dieser Größenordnung dauerhaft Bestand hätten.