Na quinta-feira(15), a CISA alertou agências federais dos EUA para protegerem seus sistemas contra ataques em andamento que exploram uma vulnerabilidade de alta gravidade no navegador web Chrome.
O pesquisador de segurança da Solidlab, Vsevolod Kokorin, descobriu a falha (
CVE-2025-4664
) e compartilhou detalhes técnicos online no dia 5 de maio.
O Google liberou atualizações de segurança para corrigi-la na quarta-feira.
Como Kokorin explicou, a vulnerabilidade deve-se a uma aplicação insuficiente da política no componente Loader do Google Chrome, e a exploração bem-sucedida pode permitir que atacantes remotos vazem dados de origens cruzadas por meio de páginas HTML maliciosamente criadas.
"Você provavelmente sabe que, ao contrário de outros navegadores, o Chrome resolve o cabeçalho Link em solicitações de sub-recursos.
Mas qual é o problema? O problema é que o cabeçalho Link pode definir uma política de referência.
Podemos especificar unsafe-url e capturar os parâmetros completos da consulta", Kokorin observou.
Parâmetros de consulta podem conter dados sensíveis - por exemplo, em fluxos de OAuth, isso pode levar a uma Tomada de Conta.
Os desenvolvedores raramente consideram a possibilidade de roubo de parâmetros de consulta por meio de uma imagem de um recurso de terceiros.
Embora o Google não tenha divulgado se a vulnerabilidade foi previamente abusada em ataques ou se ainda está sendo explorada, ele alertou em um comunicado de segurança que existe um exploit público, o que é como normalmente indica uma exploração ativa.
Um dia depois, a CISA confirmou que o
CVE-2025-4664
está sendo abusado no mundo real e adicionou-o ao catálogo de Vulnerabilidades Exploradas Conhecidas, que lista falhas de segurança exploradas ativamente em ataques.
Conforme exigido pela Diretiva Operacional Vinculativa (BOD) 22-01 de novembro de 2021, as agências da Executiva Civil Federal dos EUA (FCEB) devem corrigir sua instalação do Chrome dentro de três semanas, até o dia 7 de maio, para proteger seus sistemas contra possíveis violações.
Embora esta diretiva aplique-se apenas às agências federais, todos os defensores de redes são aconselhados a priorizar a correção desta vulnerabilidade o mais rápido possível.
"Esse tipo de vulnerabilidades são vetores de ataque frequentes para atores cibernéticos maliciosos e representam riscos significativos para a empresa federal", alertou a agência de cibersegurança.
Esta é a segunda vulnerabilidade zero-day do Chrome ativamente explorada corrigida pelo Google este ano, após outro bug zero-day de alta gravidade do Chrome (CVE-2025-2783), que foi abusado para atacar organizações governamentais russas, meios de comunicação e instituições educacionais em ataques de ciberespionagem.
Pesquisadores da Kaspersky que identificaram os ataques de zero-day disseram que os atores de ameaças usaram exploits do CVE-2025-2783 para burlar as proteções de sandbox do Google Chrome e infectar alvos com malware.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...