Agenția americană pentru securitate cibernetică și infrastructură (CISA) avertizează agențiile federale cu privire la exploatarea activă a unei vulnerabilități recent remediate în browserul Google Chrome.
Vulnerabilitatea a primit identificatorul CVE-2025-4664 și are un nivel de securitate ridicat, conform evaluării Google.
Problema constă în aplicarea insuficientă a politicilor de securitate în componenta Loader din versiunile de Chrome până la 136.0.7103.113.
Vsevolod Kokorin, cercetător al companiei de servicii de securitate Solid Lab, a descoperit vulnerabilitatea și a publicat pe 5 mai cod JavaScript care relevă problema prin afișarea unei imagini folosind un URL controlat de atacator.
Exploatarea cu succes a vulnerabilității permite unui atacator să extragă date din alte surse (cross-origin data) folosind pagini HTML special concepute.
Un hacker ar putea obține informații sensibile, inclusiv din fluxurile OAuth de autorizare și autentificare, ceea ce ar putea duce la compromiterea conturilor utilizatorilor.
Spre deosebire de alte browsere, Chrome rezolvă header-ul Link la cereri venite de la subresurse, spune Kokorin.
Într-o explicație tehnică, Kokorin spune că problema de securitate rezultă din faptul că prin modificarea header-ului Link în cererile de la subresurse se poate seta o politică de referință (referrer-policy) ce permite capturarea parametrilor din URL.
„Parametrii din query pot conține date sensibile – de exemplu, în fluxurile OAuth, acest lucru poate duce la preluarea contului. Dezvoltatorii rareori iau în considerare posibilitatea de a fura parametri de query printr-o imagine de la o resursă terță,” a explicat Kokorin.
Confirmarea exploatării active
La aproape 10 zile după publicarea detaliilor tehnice, Google a lansat actualizări de securitate pentru a remedia problema, spunând într-o postare din 14 mai că are cunoștințe despre informații tehnice aflate în spațiul public ce ar putea duce la exploatare.
Imediat după lansarea actualizării, CISA a confirmat că hackerii exploatează activ CVE-2025-4664 și a adăugat-o în catalogul vulnerabilităților exploatate cunoscute.
Conform directivei federale BOD 22-01, agențiile guvernamentale americane trebuie să aplice patch-ul până pe 5 iunie pentru a preveni posibile breșe de securitate.
Directiva se aplică doar agențiilor federale din Statele Unite, dar recomandarea CISA ar trebui urmată în toate rețelele care nu folosesc cea mai recentă versiune a browserului Google Chrome.
„Acest tip de vulnerabilități reprezintă frecvent vectori de atac pentru actorii cibernetici rău-intenționați și prezintă riscuri semnificative pentru infrastructura federală,” a avertizat CISA.
