Google telah merilis pembaruan keamanan darurat untuk menambal kerentanan tingkat tinggi di browser web Chrome yang dapat menyebabkan pengambilalihan akun penuh setelah eksploitasi yang berhasil.
Meskipun tidak jelas apakah cacat keamanan ini telah digunakan dalam serangan, perusahaan memperingatkan bahwa ia memiliki eksploitasi publik, yang biasanya mengisyaratkan eksploitasi aktif.
“Google mengetahui laporan bahwa eksploitasi untuk CVE-2025-4664 ada di alam liar,” Google berkata dalam penasihat keamanan hari Rabu.
Kerentanan ditemukan oleh peneliti keamanan solidlab vsevolod kokorin dan is dijelaskan Sebagai penegakan kebijakan yang tidak mencukupi dalam komponen loader Google Chrome yang memungkinkan penyerang jarak jauh membocorkan data lintas asal melalui halaman HTML yang dibuat secara jahat.
“Anda mungkin tahu bahwa tidak seperti browser lainnya, Chrome menyelesaikan tautan tautan pada permintaan subresource. Tapi apa masalahnya? Masalahnya adalah bahwa header tautan dapat mengatur kebijakan-kebijakan. Kokorin menjelaskan.
“Parameter kueri dapat berisi data sensitif – misalnya, dalam aliran OAuth, ini dapat menyebabkan pengambilalihan akun. Pengembang jarang mempertimbangkan kemungkinan mencuri parameter kueri melalui gambar dari sumber daya pihak ke -3.”
Google memperbaiki cacat untuk pengguna di saluran desktop stabil, dengan versi yang ditambal (136.0.7103.113 untuk Windows/Linux dan 136.0.7103.114 untuk macOS) diluncurkan ke pengguna di seluruh dunia.
Meskipun perusahaan mengatakan pembaruan keamanan akan diluncurkan selama beberapa hari dan minggu mendatang, mereka segera tersedia ketika BleepingComputer memeriksa pembaruan.
Pengguna yang tidak ingin memperbarui Chrome secara manual juga dapat membiarkan browser secara otomatis memeriksa pembaruan baru dan menginstalnya setelah peluncuran berikutnya.
Di bulan Maret, Google juga Memperbaiki chrome nol chrome tinggi BUG (CVE-2025-2783) yang disalahgunakan untuk menggunakan malware dalam serangan spionase yang menargetkan organisasi pemerintah Rusia, outlet media, dan lembaga pendidikan.
Peneliti Kaspersky yang menemukan nol-day yang dieksploitasi secara aktif mengatakan bahwa para penyerang menggunakan eksploitasi CVE-2025-2783 untuk memotong perlindungan kotak pasir krom dan menginfeksi target dengan malware.
Tahun lalu, Google ditambal 10 hari nol diungkapkan selama kompetisi peretasan PWN2own atau dieksploitasi dalam serangan.
