Er is een nieuwe versie van Google Chrome verschenen, waarin 37 beveiligingslekken zijn verholpen, waaronder een kwetsbaarheid die het mogelijk maakte voor een aanvaller om uit de sandbox van de browser te ontsnappen. Chrome beschikt over een sandbox die in veel gevallen voorkomt dat een aanvaller willekeurige code op het systeem kan uitvoeren.

Een aanvaller moet in dit geval een kwetsbaarheid in de browser én in de sandbox vinden. Het komt niet vaak voor dat onderzoekers erin slagen om uit de sandbox van Chrome te ontsnappen. De kwetsbaarheid werd door een onderzoeker aan Google gemeld die anoniem wilde blijven. Vanwege de ernst van de kwetsbaarheid beloont Google die met een beloning van 16.337 dollar. Het beveiligingslek in de sandbox alleen laat een aanvaller geen willekeurige code op het onderliggende besturingssysteem uitvoeren.

Google bestempelde de kwetsbaarheid dan ook als "high" in plaats van "critical", wat de hoogste categorie is als het gaat om de beoordeling van beveiligingslekken. In totaal betaalde Google externe onderzoekers 38.337 dollar voor voor het rapporteren van 14 kwetsbaarheden. Geen enkel van deze lekken werd als "critical" bestempeld. Via kwetsbaarheden die in de categorie "high" vallen kunnen aanvallers vertrouwelijke gegevens van andere websites lezen of aanpassen. Updaten naar Chrome 43.0.2357.65 gebeurt in de meeste gevallen volledig automatisch.