1 puntos por GN⁺ 2025-08-12 | 1 comentarios | Compartir por WhatsApp
  • El comité de recompensas VRP de Chrome decidió una recompensa de 250,000 dólares para un informe reciente de vulnerabilidad de seguridad.
  • La vulnerabilidad reportada es un fallo en el componente ipcz, que podría permitir que el renderizador duplique el handle del proceso del navegador y facilite una posible evasión del sandbox.
  • El problema se reportó en el área Chromium > Internals > Mojo > Core.
  • Este fallo puede aumentar el riesgo de seguridad para los usuarios.
  • Este problema está siendo corregido mediante cambios en el código.

Resumen de los temas principales

  • Se informó una vulnerabilidad de seguridad de gran criticidad en el proyecto Chromium.
  • El fallo pertenece al componente ipcz y podría permitir que el renderizador, que debería permanecer dentro del sandbox, duplique un handle del proceso del navegador y salga del entorno de aislamiento de seguridad.
  • Este comportamiento representa, en esencia, una amenaza al modelo de sandbox del navegador.

Decisión y significado de la recompensa de Chrome VRP

  • El panel del Chrome Vulnerability Reward Program (programa de recompensas) decidió otorgar 250,000 dólares por este informe de vulnerabilidad.
  • La decisión refleja la gravedad, la complejidad del hallazgo y su impacto potencial.
  • Es un ejemplo de la intención de recompensar activamente la presentación de reportes de vulnerabilidades críticas de seguridad.

Gestión interna del incidente

  • Este incidente se está gestionando en las categorías Internals > Mojo > Core y Internals > Mojo.
  • Son necesarios varios cambios de código relacionados, incluyendo algunos commits en Gerrit.
  • También se están llevando a cabo procesos formales de revisión, como la revisión de documentos de diseño.

Parcheo y impacto

  • El problema relacionado está en proceso de parcheo mediante modificaciones de código.
  • El caso afecta a varios hitos de lanzamiento de Chromium y tiene prioridad alta para actualizaciones de seguridad.
  • Existe el riesgo de que este error debilite las barreras de seguridad del sistema del usuario.

Asuntos relacionados y respuesta del sistema

  • También se generó un registro de IRM (Incident Response Management) asociado a este incidente.
  • Los detalles de este error se están rastreando y con acceso controlado mediante distintos sistemas internos, incluyendo cambios de código generados automáticamente, problemas de seguridad relacionados, revisión de diseño y gestión de lanzamientos.
  • Se requiere una distribución y divulgación de parches de seguridad rápida y efectiva para la comunidad y los usuarios.

1 comentarios

 
GN⁺ 2025-08-12
Comentarios de Hacker News
  • Mencionó que encontró una explotación bastante sólida en uno de los navegadores más usados y que cree que habría ganado bastante más si la hubiera vendido en el mercado negro. Con herramientas de seguridad como EDR (Endpoint Detection and Response) ampliamente desplegadas, ahora es más probable que la explotación sea detectada rápidamente, pero hay quien opina que ciertos servicios de inteligencia de regímenes autoritarios seguirán viendo valor en hacer este tipo de hackeos.
    • Cuestiona si realmente se podría ganar más sin pagar impuestos vendiéndola en el mercado negro, y además duda de cómo encontrar realmente a delincuentes de confianza y dónde. La operación tendría que hacerse bajo anonimato y confianza. Aunque recibas dinero, podrías exponerte a otros riesgos como el chantaje, y ocultar una suma grande de dinero no es fácil, así que hay dudas sobre cómo vender la vulnerabilidad de forma segura. También comenta que, si ganas dinero de esa forma, no podrías publicar en tu blog ni dar a conocer tu nombre a investigadores o reclutadores, lo que sería perjudicial para tu carrera y tu reputación.
    • También dice que no significa que vender en el mercado negro implique automáticamente más dinero sin impuestos, más bien ocurre lo contrario. Si alguna vez entra una gran cantidad en una cuenta bancaria, terminarás siendo monitoreado, así que al final no solo debes pagar impuestos sino también lavar el dinero, y pagar comisión al lavador, por lo que en la práctica es como pagar impuestos dos veces. Con criptomonedas pasa algo parecido porque te piden prueba de que realmente la minaste, así que no es una solución sencilla.
    • Muchos solo comparan montos de dinero, pero también propone pensar en cómo ser un poco mejor persona. Debe considerarse que, por el beneficio potencial, se abre la puerta para que muchos delincuentes dañen a millones de personas.
    • No necesariamente puedes cobrar más sin pagar impuestos en el mercado negro. Hay una presentación que indica que escapar del sandbox en Chrome o saltártelo puede pagar hasta US$200,000; compartieron la diapositiva 72. Esta presentación está en GitHub, pero como hoy está caída, también compartieron un link de reddit.
    • Explica que este tipo de vulnerabilidades es uno de los pocos casos en los que existe un mercado secundario. En particular, bugs como estos pueden revenderse varias veces; por ejemplo, existen empresas especializadas que venden a agencias de inteligencia y cuerpos policiales de alcance nacional.
  • Para un escape de sandbox y reportes de alta calidad en Chrome, la recompensa es de US$250,000. Comparó con Mozilla, que por la misma vulnerabilidad da solo US$20,000, con el reglamento oficial y Bug Bounty de Mozilla.
    • Según Wikipedia, ese monto representa 0.012% de la utilidad neta de Mozilla. Algunos en el hilo dijeron que ese tipo de comparación no es adecuada, pero al ponerlo en porcentaje, concluyen que es del orden de 50 veces de Chrome, así que les parece suficiente. (Originalmente calculó mal el porcentaje; corrigió a 0.012% — US$20,000 es 0.012% de US$157,000,000, es decir, 50 veces más que el porcentaje de Google.)
    • Chrome tiene de 15 a 20 veces más usuarios que Firefox, así que en el mercado negro el precio del bug también se forma mucho más alto. Safari puede ser incluso más caro porque tiene más usuarios adinerados y menos foco en seguridad.
    • Al mirar la situación financiera de ambas compañías, sostiene que Google gana mucho más dinero que Mozilla.
    • Comentó que le gustaría hacer una parodia sobre “actuar como CEO de Mozilla en HN” y decir lo que uno quisiera. Imagina algo opuesto a entrar en serio a la oficina y defender con pasión su política favorita (privacidad, fortalecimiento de estándares web, mejoras de velocidad, aumento de recompensas de bug bounty, etc.), mientras que en el fondo hay un pequeño video de animación en cámara lenta con una línea roja (la caída de ingresos) descendiendo constantemente.
    • En el mercado gris, la recompensa por vulnerabilidades de Firefox también cae bastante por la dinámica de oferta y demanda.
  • Al leer el aviso de “abrimos el issue cinco días antes para publicarlo solo esta semana”, surgió un comentario que suena a saludo ligado a Defcon.
  • También menciona que este bug es un problema de lógica/temporización y que no es algo que se pueda “arreglar” solo porque esté escrito en Rust.
  • Preguntó si hay material que explique con claridad qué es exactamente un bug de escape de sandbox para quienes no dominan bien conceptos como “renderer”, “API nativa” y “sandbox” en navegadores.
    • Primero, tomar control del proceso renderer por un bug en el motor de JavaScript, entre otras cosas, es la etapa 1; aun así, el renderer sigue encerrado en la sandbox. El bug de este post es la etapa 2 (escape de sandbox). Explica que el patch.diff publicado ya es un parche para simular un proceso renderer comprometido.
  • El link con el comentario sobre la recompensa está aquí.
  • Hay admiración por lo grande que es el dinero y que llega a cambiar una vida, y también se valora poder ver recompensas así.
    • En Dinamarca, donde vivo, ese monto ni siquiera alcanza para comprar un estudio en una azotea, incluso sin impuestos.
    • Cuando recibí mi primer bono de US$240,000 pensé que cambiaría mi vida, pero al final me retuvieron US$100,000 en impuestos. Entre pagar US$20,000 por un auto, no quedaba mucho margen. Era muy poco para comprar casa en LA/SF/NYC y para empezar una startup. Como estudiante pude haber durado 2 o 3 años, pero tenía 34 y volver a la vida de estudiante ya era difícil. Al final, no logró cambiarme la vida por completo; y aunque agradezco haber recibido tanto dinero, no se transformó tanto como esperaba. Era hace 25 años; hoy, en cualquiera de esas tres ciudades, US$100,000 (US$600,000 antes de impuestos) ya no es una cantidad para cambiar la vida. Con eso, quizá podrías cubrir entrada de un departamento o la universidad de un hijo, pero no sentí la libertad que esperaba.
    • También opina que el significado del monto cambia según donde vivas. En países desarrollados, es difícil decir que US$250,000 cambia la vida; más bien es “dinero para dejar de preocuparse por un tiempo”. Y después de impuestos sigue siendo insuficiente para comprar una casa.
  • Se siente increíble encontrar bugs en proyectos tan grandes.
    • Cuanto más grande y complejo es un proyecto, más código y más bugs hay, así que en comparación con proyectos pequeños quizá sea más fácil encontrar issues. Pero con bugs tan graves como un Sandbox Escape, ya hay muchísima gente aplicando análisis manual y automático (incluyendo fuzzers) por la política de recompensas de Google, así que sí es muy difícil encontrarlos. A veces descubrí un bug en Chrome en 2014 sin siquiera buscar uno —estaba escribiendo JS y vi el problema— y Google pagó US$1,500. También compartió que le tomó unos 30 minutos. Enlace relacionado
    • Por otro lado, con proyectos grandes también puede ser más fácil por las interacciones extrañas entre componentes. El truco es enfocarse en límites de seguridad críticos (en este caso, la comunicación entre renderer y broker) y explorar casos extremos. Google paga bien este tipo de bugs, así que encontrar uno suele traer una recompensa grande. Sin embargo, sigue siendo cierto que hace falta ser realmente bueno para hallarlos.
  • También llama la atención la velocidad con la que pagaron la recompensa: llegó en unas 4 semanas, en muchas empresas recién reconocer un reporte de bug tarda meses.
  • Si se asume que el DOJ forzará la separación de Chrome y aparece una nueva propiedad, es escéptico sobre si se podrá seguir manteniendo un bug bounty de este nivel.