Google corrige BRECHA no Chrome

15 de Maio de 2025

Na quarta-feira(14), o Google lançou atualizações para corrigir quatro vulnerabilidades de segurança no seu navegador Chrome, incluindo uma para a qual se disse existir um exploit disponível publicamente.

A vulnerabilidade de alta gravidade, identificada como CVE-2025-4664 (pontuação CVSS: 4.3), foi descrita como um caso de aplicação insuficiente de política em um componente chamado Loader.

"A aplicação insuficiente de políticas no Loader no Google Chrome, antes da versão 136.0.7103.113, permitiu a um atacante remoto vazar dados entre origens por meio de uma página HTML especialmente criada," de acordo com a descrição da falha.

O gigante da tecnologia creditou o pesquisador de segurança Vsevolod Kokorin (@slonser_) por detalhar a falha em X no dia 5 de maio de 2025, acrescentando que está ciente de "um exploit para o CVE-2025-4664 disponível publicamente."

"Diferentemente de outros navegadores, o Chrome resolve o cabeçalho Link em solicitações de sub-recursos," disse Kokorin em uma série de postagens no X no início deste mês.

"O problema é que o cabeçalho Link pode definir uma referrer-policy.

Podemos especificar unsafe-url e capturar os parâmetros completos da consulta."

O pesquisador continuou adicionando que os parâmetros da consulta podem conter dados sensíveis que podem levar a uma completa tomada de conta e que as informações do parâmetro de consulta podem ser roubadas por meio de uma imagem de um recurso de terceiros.

Não está claro se a vulnerabilidade foi explorada em um contexto malicioso fora desta demonstração de prova de conceito (PoC).

CVE-2025-4664 é a segunda vulnerabilidade, depois do CVE-2025-2783, a ser considerada sob "exploitation ativa" publicamente.

Para se proteger contra potenciais ameaças, aconselha-se a atualização do navegador Chrome para as versões 136.0.7103.113/.114 para Windows e Mac, e 136.0.7103.113 para Linux.

Usuários de outros navegadores baseados em Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também são aconselhados a aplicar as correções assim que estiverem disponíveis.

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...