Найти в Дзене
Герман Геншин
20,1 тыс подписчиков

Срочно: Уязвимость Chrome Угрожает Вашим Данных! Вот Что Нужно Знать!

38
2 мин
На прошлой среде Google выпустил обновления для своего веб-браузера Chrome, устраняющие четыре уязвимости безопасности, включая одну, которую уже начали использовать злоумышленники. Эта уязвимость с высоким уровнем опасности, отслеживаемая как CVE-2025-4664 (оценка CVSS: 4.3), связана с недостаточным применением политики в компоненте, называемом Loader. CVE-2025-4664 Согласно описанию, "недостаточное применение политики в Loader в Google Chrome версиях до 136.0.7103.113 позволяло удалённому злоумышленнику утекать данные между доменами через специально подготовленную HTML-страницу". Технологический гигант признал вклад сотрудника по безопасности Всеволода Кокорина (@slonser_), который подробно описал эту проблему в X 5 мая 2025 года, добавив, что "эксплуатация CVE-2025-4664 действительно была зафиксирована". Кокорин также отметил в серии сообщений на X в начале этого месяца, что "в отличие от других браузеров, Chrome позволяет использовать заголовок Link в запросах на подресурсы. Пробл

На прошлой среде Google выпустил обновления для своего веб-браузера Chrome, устраняющие четыре уязвимости безопасности, включая одну, которую уже начали использовать злоумышленники.

Эта уязвимость с высоким уровнем опасности, отслеживаемая как CVE-2025-4664 (оценка CVSS: 4.3), связана с недостаточным применением политики в компоненте, называемом Loader.

CVE-2025-4664

Согласно описанию, "недостаточное применение политики в Loader в Google Chrome версиях до 136.0.7103.113 позволяло удалённому злоумышленнику утекать данные между доменами через специально подготовленную HTML-страницу".

Технологический гигант признал вклад сотрудника по безопасности Всеволода Кокорина (@slonser_), который подробно описал эту проблему в X 5 мая 2025 года, добавив, что "эксплуатация CVE-2025-4664 действительно была зафиксирована".

Кокорин также отметил в серии сообщений на X в начале этого месяца, что "в отличие от других браузеров, Chrome позволяет использовать заголовок Link в запросах на подресурсы. Проблема в том, что заголовок Link может установить политику реферера. Мы можем указать unsafe-url и перехватить полные параметры запроса."

Исследователь добавил, что параметры запроса могут содержать конфиденциальные данные, что может привести к потере контроля над аккаунтом, а информация из параметров запроса может быть украдена с изображений с внешних ресурсов.

Неясно, была ли эта уязвимость использована в злонамеренных целях помимо представленной демонстрации. CVE-2025-4664 является второй уязвимостью после CVE-2025-2783, связанной с "активной эксплуатацией".

Чтобы защитить себя от возможных угроз, рекомендуется обновить браузер Chrome до версии 136.0.7103.113/114 для Windows и Mac, а также до 136.0.7103.113 для Linux. Пользователям других браузеров на основе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также следует применить исправления, как только они станут доступны.

Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!

Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь

Также подписывайтесь на нас в: