Google heeft een nieuwe versie van Google Chrome uitgebracht waarin het in totaal 50 lekken heeft verholpen, waaronder twee zeldzame kwetsbaarheden waardoor een aanvaller uit de sandbox-beveiliging van de browser kon breken en de onderliggende computer volledig kon overnemen.

Het komt zeer zelden voor dat dit soort kritieke lekken in Chrome worden ontdekt, aangezien er naast een lek in de browser ook een lek in de sandbox moet worden gevonden om willekeurige code op het onderliggende systeem uit te voeren. Onderzoeker "lokihardt@asrt" wist verschillende bugs in de render engine, extensies en andere onderdelen van Chrome aan elkaar te koppelen om zo uit de sandbox te ontsnappen.

De onderzoeker ontving voor zijn twee bugmeldingen een speciale beloning van 30.000 dollar. Google beloont onderzoekers voor het melden van kwetsbaarheden, waarbij kritieke lekken de hoogste beloning krijgen. De overige gepatchte kwetsbaarheden zijn minder ernstig van aard en zorgden ervoor dat een aanvaller in het ergste geval vertrouwelijke gegevens van andere websites kon lezen of aanpassen.

Naast de 30.000 dollar voor lokihardt@asrt werd er 13.000 dollar aan verschillende andere onderzoekers voor hun bugmeldingen betaald. Google bedankt ook verschillende andere onderzoekers voor hun samenwerking tijdens de ontwikkelfase, waardoor voorkomen werd dat security-bugs in de uiteindelijke versie van Chrome terechtkwamen. In totaal keerde Google nog eens 8.000 dollar aan aanvullende beloningen uit. Updaten naar Chrome 37.0.2062.94 gebeurt in de meeste gevallen geheel automatisch.