Google is een ernstig beveiligingslek in de Chrome browser dat het wel gepatcht had, per ongeluk vergeten te melden. Via de kwetsbaarheid konden aanvallers uit de sandbox breken en het onderliggende systeem overnemen. Het lek dat onderzoeker Chamal de Silva ontdekte, werd in Chrome 16.0.912.75 verholpen, maar per ongeluk niet in de release notes vermeld. Voor het rapporteren van het lek kreeg De Silva de hoogste beloning die Google uitdeelt, 3.133,70 dollar.

Als de onderzoeker had gewacht, had hij mogelijk 60.000 euro met zijn ontdekking kunnen verdienen. Van 7 t/m 9 maart vindt de Pwn2Own hackerwedstrijd plaats, waarbij een Chrome-lek in potentie 60.000 euro waard is.

Bedankje
Om De Silva toch te bedanken voor zijn werk en het lek aan gebruikers te melden, heeft Google die in de release notes van versie 16.0.912.77 opgenomen. Deze versie verhelpt int totaal vier kwetsbaarheden, die elk als "high" bestempeld zijn.

In het geval van een high-lek kan een aanvaller de vertrouwelijke gegevens van andere websites lezen of aanpassen. Voor drie van de vier gerapporteerde "high-lekken" betaalde Google duizend dollar per stuk. Updaten naar versie 16.0.912.77 gebeurt geheel automatisch.