В Google Chrome нашли опасную уязвимость

Компания Google выпустила срочное обновление для устранения уязвимости в браузере Chrome, которая могла привести к полному захвату аккаунта в случае успешной эксплуатации.

Как передает Day.Az со ссылкой на xakep.ru, уязвимость получила идентификатор CVE-2025-4664 и была обнаружена экспертом Solidlab Всеволодом Кокориным. Проблема описывается как некорректная реализация политик в компоненте Loader, которое позволяет удаленным злоумышленникам передавать cross-origin данные через вредоносные HTML-страницы.

"Вы наверняка знаете, что в отличие от других браузеров, Chrome резолвит заголовок Link при запросе субресурса. В чем здесь проблема? Проблема в том, что в заголовке Link может быть установлена политика referrer-policy. Мы можем указать значение unsafe-url и перехватить полные параметры запроса, - объясняет исследователь. - В параметрах запроса могут содержаться конфиденциальные данные (например, в случае OAuth это может привести к захвату аккаунта). Разработчики редко задумываются о возможности кражи параметров запроса через изображение со стороннего ресурса".

Разработчики Google устранили уязвимость в Chrome версии 136.0.7103.113 для Windows/Linux и 136.0.7103.114 для macOS, которые уже развертываются среди пользователей по всему миру.