Google выпустил обновления для браузера Chrome, которые устраняют четыре проблемы безопасности, среди которых особенно выделяется уязвимость с идентификатором CVE-2025-4664. Эта уязвимость имеет активные эксплойты в дикой природе, что делает ее особенно опасной для пользователей.
Уязвимость CVE-2025-4664 имеет высокий уровень серьезности с оценкой CVSS 4.3. Она связана с недостаточной политикой контроля в компоненте загрузчика Google Chrome, версиях до 136.0.7103.113. Эта проблема позволяет удаленному злоумышленнику осуществлять утечку данных между источниками через специально подготовленную HTML-страницу.
Исследователь безопасности Всеволод Кокорин (@slonser_) сообщил о данной уязвимости 5 мая 2025 года, опубликовав информацию на платформе X. Он подчеркивает, что в отличие от других браузеров, Chrome обрабатывает заголовок Link при запросах к субресурсам. Этот заголовок может установить политику реферера, что злоумышленники могут использовать для захвата полных параметров запроса.
Уязвимость создает серьезные риски, так как параметры запроса могут содержать конфиденциальные данные, что потенциально может привести к полному захвату учетной записи. Информация может быть украдена через изображение, загружаемое из стороннего ресурса, что делает проблему еще более актуальной.
CVE-2025-4664 является второй уязвимостью, отмеченной как «активно эксплуатируемая» в дикой природе, после CVE-2025-2783. На данный момент неясно, была ли уязвимость использована в более масштабных атаках, кроме демонстрации доказательства концепции.
Пользователям настоятельно рекомендуется обновить свои браузеры Chrome до следующих версий: для Windows и Mac — 136.0.7103.113/.114, для Linux — 136.0.7103.113. Владельцы других браузеров на основе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также должны применить соответствующие исправления по мере их появления.
Таким образом, соблюдение безопасности и регулярное обновление программного обеспечения становятся ключевыми мерами для защиты от новых уязвимостей и угроз в сети.
Уязвимость CVE-2025-4664 имеет высокий уровень серьезности с оценкой CVSS 4.3. Она связана с недостаточной политикой контроля в компоненте загрузчика Google Chrome, версиях до 136.0.7103.113. Эта проблема позволяет удаленному злоумышленнику осуществлять утечку данных между источниками через специально подготовленную HTML-страницу.
Исследователь безопасности Всеволод Кокорин (@slonser_) сообщил о данной уязвимости 5 мая 2025 года, опубликовав информацию на платформе X. Он подчеркивает, что в отличие от других браузеров, Chrome обрабатывает заголовок Link при запросах к субресурсам. Этот заголовок может установить политику реферера, что злоумышленники могут использовать для захвата полных параметров запроса.
Уязвимость создает серьезные риски, так как параметры запроса могут содержать конфиденциальные данные, что потенциально может привести к полному захвату учетной записи. Информация может быть украдена через изображение, загружаемое из стороннего ресурса, что делает проблему еще более актуальной.
CVE-2025-4664 является второй уязвимостью, отмеченной как «активно эксплуатируемая» в дикой природе, после CVE-2025-2783. На данный момент неясно, была ли уязвимость использована в более масштабных атаках, кроме демонстрации доказательства концепции.
Пользователям настоятельно рекомендуется обновить свои браузеры Chrome до следующих версий: для Windows и Mac — 136.0.7103.113/.114, для Linux — 136.0.7103.113. Владельцы других браузеров на основе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также должны применить соответствующие исправления по мере их появления.
Таким образом, соблюдение безопасности и регулярное обновление программного обеспечения становятся ключевыми мерами для защиты от новых уязвимостей и угроз в сети.