Уязвимость Chrome высокой степени опасности (CVE-2025-4664), которую Google устранил в среду, используется злоумышленниками, подтвердило CISA, добавив уязвимость в свой каталог известных уязвимостей, которыми пользуются злоумышленники
Информация о CVE-2025-4664
Ошибка CVE-2025-4664
связана с недостаточным контролем политик в загрузчике Google Chrome, что
позволяет злоумышленникам использовать браузер для утечки данных из разных
источников, которые можно использовать для захвата учётных записей.
Уязвимость может быть
вызвана вредоносной HTML-страницей в версиях Chrome до v136.0.7103.113/.114 в
Windows, macOS и Linux.
“Google осознает, что
информация о CVE-2025-4664 существует в дикой природе”, - заявила компания,
выпустив обновление, и сослалась на пост исследователя
безопасности Всеволода Кокорина (ранее Twitter), он же “slonser_”, в качестве
источника.
Из-за формулировок,
использованных Google, невозможно было точно узнать, использовали ли
злоумышленники уязвимость, о существовании которой стало известно 5 мая 2025
года. Однако CISA, добавившая её в каталог KEV, подтверждает, что это так.
«Проблема в том, что
[заголовок ссылки в Chrome] может устанавливать политику реферера. Мы
можем указать небезопасный URL-адрес и получить все параметры
запроса. Параметры запроса могут содержать конфиденциальные данные —
например, в потоках OAuth это может привести к захвату аккаунта», — отметил
Кокорин.
«Разработчики редко
задумываются о возможности кражи параметров запроса с помощью изображения со
стороннего ресурса, что иногда делает этот трюк на удивление полезным».
Конечно, для того,
чтобы атака сработала, пользователям Chrome нужно будет открыть специально
созданную HTML-страницу, но это несложно сделать.
Обновите ваш браузер (ы)
Добавление
CVE-2025-4664 в каталог KEV означает, что гражданские федеральные агентства США
должны устранить уязвимость к указанной дате: 5 июля 2025 года.
Но и другие
организации, в том числе из частного сектора, также должны следить за тем,
чтобы Chrome был обновлен в их системах.
Если вы используете
Chrome и решили обновить браузер вручную, сейчас самое время это
сделать. Чтобы применить последнее обновление, просто закройте все
открытые окна Chrome, а затем снова откройте браузер.
Если у вас включено
автоматическое обновление, никаких действий предпринимать не нужно, так как
Chrome будет обновляться в фоновом режиме.
CVE-2025-4664 также был исправлен в Microsoft Edge, и ожидается, что
другие браузеры на базе Chromium, такие как Opera и Brave, вскоре внедрят это
исправление.
Дополнительная интересная информация:
"Уязвимость нулевого дня в Windows: как APT-группы использовали её почти десятилетие"
"Dependency-Check — секретное оружие разработчиков для анализа зависимостей"
"GenAI — новое оружие хакеров: как ИИ взламывает Google Chrome"
**МЕТА ТЕГИ:**
CVE-2025-4664, уязвимость Chrome, CISA, кибербезопасность, обновление браузера,
Google Chrome, эксплуатация уязвимости, KEV, Всеволод Кокорин, slonser_,
Microsoft Edge, Opera, Brave, Chromium.
Комментариев нет:
Отправить комментарий