Google mercoledì rilasciato Aggiornamenti per affrontare quattro problemi di sicurezza nel suo browser Net Chrome, incluso uno per i quali ha detto che esiste un exploit in natura.
La vulnerabilità advert alta grave, monitorata come CVE-2025-4664 (Punteggio CVSS: 4.3), è stato caratterizzato come un caso di applicazione della politica insufficiente in un componente chiamato caricatore.
“L’applicazione della politica insufficiente nel caricatore in Google Chrome prima del 136.0.7103.113 ha permesso a un utente malintenzionato di perdite di dati incrociati tramite una pagina HTML realizzata”, secondo un descrizione del difetto.
Il gigante della tecnologia ha accreditato il ricercatore di sicurezza VseVolod Kokorin (@Slonser_) con dettaglio il difetto in X il 5 maggio 2025, aggiungendo che è consapevole “un exploit per CVE-2025-4664 esiste in natura”.
“A differenza di altri browser, Chrome risolve l’intestazione del collegamento sulle richieste di sotto-risorse”, Kokorin disse In una serie di submit su X all’inizio di questo mese. “Il problema è che l’intestazione del collegamento può impostare una politica di riferimento. Possiamo specificare URL non sicuri e acquisire i parametri di question completi.”
Il ricercatore ha continuato aggiungendo che i parametri delle question possono contenere dati sensibili che possono portare a un’acquisizione completa dell’account e che le informazioni sui parametri delle question possono essere rubate tramite un’immagine da una risorsa di terze parti.
Non è chiaro se la vulnerabilità sia stata sfruttata in un contesto dannoso al di fuori di questa dimostrazione di prova (POC). CVE-2025-4664 è la seconda vulnerabilità dopo CVE-2025-2783 essere stato sottoposto a “sfruttamento attivo” in natura.
Per salvaguardare le potenziali minacce, si consiglia di aggiornare il loro browser Chrome alle versioni 136.0.7103.113/.114 per Home windows e Mac e 136.0.7103.113 per Linux. Si consiglia anche agli utenti di altri browser a base di cromo come Microsoft Edge, Courageous, Opera e Vivaldi di applicare le correzioni come e quando diventano disponibili.
