вторник, 3 июня 2025 г.

"Новая угроза: как защититься от эксплойта CVE-2025-4664 в Chrome"



Уязвимость Chrome высокой степени опасности (CVE-2025-4664), которую Google устранил в среду, используется злоумышленниками, подтвердило CISA, добавив уязвимость в свой каталог известных уязвимостей, которыми пользуются злоумышленники


Информация о CVE-2025-4664

Ошибка CVE-2025-4664 связана с недостаточным контролем политик в загрузчике Google Chrome, что позволяет злоумышленникам использовать браузер для утечки данных из разных источников, которые можно использовать для захвата учётных записей.


Уязвимость может быть вызвана вредоносной HTML-страницей в версиях Chrome до v136.0.7103.113/.114 в Windows, macOS и Linux.

“Google осознает, что информация о CVE-2025-4664 существует в дикой природе”, - заявила компания, выпустив обновление, и сослалась на пост исследователя безопасности Всеволода Кокорина (ранее Twitter), он же “slonser_”, в качестве источника.

Из-за формулировок, использованных Google, невозможно было точно узнать, использовали ли злоумышленники уязвимость, о существовании которой стало известно 5 мая 2025 года. Однако CISA, добавившая её в каталог KEV, подтверждает, что это так.

«Проблема в том, что [заголовок ссылки в Chrome] может устанавливать политику реферера. Мы можем указать небезопасный URL-адрес и получить все параметры запроса. Параметры запроса могут содержать конфиденциальные данные — например, в потоках OAuth это может привести к захвату аккаунта», — отметил Кокорин.

«Разработчики редко задумываются о возможности кражи параметров запроса с помощью изображения со стороннего ресурса, что иногда делает этот трюк на удивление полезным».

Конечно, для того, чтобы атака сработала, пользователям Chrome нужно будет открыть специально созданную HTML-страницу, но это несложно сделать.

Обновите ваш браузер (ы)

Добавление CVE-2025-4664 в каталог KEV означает, что гражданские федеральные агентства США должны устранить уязвимость к указанной дате: 5 июля 2025 года.

Но и другие организации, в том числе из частного сектора, также должны следить за тем, чтобы Chrome был обновлен в их системах.

Если вы используете Chrome и решили обновить браузер вручную, сейчас самое время это сделать. Чтобы применить последнее обновление, просто закройте все открытые окна Chrome, а затем снова откройте браузер.

Если у вас включено автоматическое обновление, никаких действий предпринимать не нужно, так как Chrome будет обновляться в фоновом режиме.

CVE-2025-4664 также был исправлен в Microsoft Edge, и ожидается, что другие браузеры на базе Chromium, такие как Opera и Brave, вскоре внедрят это исправление.



ДОПОЛНИТЕЛЬНАЯ ИНТЕРЕСНАЯ ИНФОРМАЦИЯ:






Дополнительная интересная информация:

"Уязвимость нулевого дня в Windows: как APT-группы использовали её почти десятилетие"

"Dependency-Check — секретное оружие разработчиков для анализа зависимостей"

"GenAI — новое оружие хакеров: как ИИ взламывает Google Chrome"


**МЕТА ТЕГИ:** CVE-2025-4664, уязвимость Chrome, CISA, кибербезопасность, обновление браузера, Google Chrome, эксплуатация уязвимости, KEV, Всеволод Кокорин, slonser_, Microsoft Edge, Opera, Brave, Chromium.

Комментариев нет:

Отправить комментарий