谷歌近日为一处 Chromium 严重漏洞支付了 25 万美元漏洞赏金。该漏洞存在于 mojo/ipcz 传输层,攻击者可通过受污染的渲染器进程实现沙箱逃逸。该漏洞编号为 CVE-2025-4609,谷歌于今年四月获知漏洞详情,五月决定按”Chrome 漏洞奖励计划” 最高标准发放赏金。谷歌官方表示,此次全额奖励是基于漏洞复杂性、清晰的漏洞分析报告及有效的漏洞利用方案。相关技术细节已于上周公开披露。漏洞成因在于 Transport::Deserialize 函数未经验证直接使用了传入消息中的 header.destination_type 值。攻击者可伪造可信代理进程(broker process),通过填入 kBroker 参数冒充合法进程。随后攻击者能通过渲染器调用 RelayMessage 接口,向其他进程传递操作系统句柄(OS handles)。由于浏览器进程的真实句柄值未知,攻击者需要持续发送句柄值为 4 至 1000 的 RelayMessage 请求。借助伪造的代理身份,浏览器进程会复制这些请求句柄并返回给渲染器。最终攻击者通过获取的特权句柄,可实现沙箱外代码注入或执行任意操作。
