Googleは、ChromeのMojo/ipcz処理に起因するサンドボックス脱出の脆弱性(CVE-2025-4609)を修正し、報告者の研究者“Micky”に25万ドル(約3,675万円、1ドル=147円換算)のバグバウンティを授与しました。
脆弱性はWindows版Chromium系で再現しうるブラウザプロセスのハンドル複製に関する実装不備で、
PoCではサンドボックス脱出とシステムコマンド実行を達成しています。修正はChrome 136(5月中旬)で反映済みです。
技術的なポイント(ipcz/Transportの宛先種別検証不備)
問題はipczドライバのTransport::Deserializeで、メッセージヘッダのdestination_typeを無検証で採用してトランスポートを生成していたことにあります。
-
悪意あるrendererがヘッダにkBrokerを偽装すると、ブラウザ側は当該rendererをブローカープロセスと誤認し、ハンドル複製の要求を受け入れてしまいます。
-
その結果、rendererからブラウザプロセスのスレッドハンドル等を複製でき、権限境界(サンドボックス)を跨ぐ操作につながります。
-
検証過程では、コンポーネント/公式ビルドではツールでrendererのハンドル一覧にブラウザプロセスのハンドルが存在することを確認しています。
この不備は、過去のMojo関連のハンドル処理バグ(例:CVE-2025-2783)に類似しつつも、ブローカー詐称によるハンドル複製という点で複雑なロジック問題でした。
攻撃シナリオ(要点)
-
悪性サイトに誘導されたユーザーがページを閲覧すると、renderer側で細工したRequestIntroduction / ReferNonBroker / RelayMessageの流れを悪用。
-
rendererがkBrokerを名乗って接続・中継要求を行い、ハンドル値の総当たりでブラウザプロセスのハンドルを取得。
-
複製した特権ハンドルを用いてサンドボックス脱出を図る(研究者PoCの成功率は70~80%)。
影響と深刻度
-
影響範囲はWindows版Chrome/Chromium系が中心です。
-
想定される被害はサンドボックス境界の突破→任意コード実行で、ブラウザ由来の安全性仮定を崩します。
-
悪用前提はユーザーのブラウジング(悪性ページ閲覧)で、攻撃面が広い点が脅威です。
修正状況と報奨の位置づけ
-
修正:Chrome 136でパッチ提供済み(Mojo/ipczの宛先種別の厳格検証など)。
-
評価:Googleは本件を「非常に複雑なロジックバグ」とし、高品質なレポートと機能するエクスプロイトにより最高額の25万ドルを支給

-200x200.png)






