Зашёл на сайт — отдал сессию: критический баг в Chrome превращает любую страницу в шпиона
NewsMakerОдин незаметный заголовок оказался ключом к вашим личным данным.
Google выпустила экстренное обновление безопасности для браузера Chrome, устраняющее четыре уязвимости, включая одну, для которой уже существует рабочий эксплойт. Речь идёт об уязвимости CVE-2025-4664 , суть которой — недостаточная проверка политик безопасности в компоненте Loader, что позволяет злоумышленникам получить доступ к конфиденциальным данным из других источников при помощи специально подготовленной HTML-страницы.
По словам специалиста по безопасности Всеволода Кокорина (@slonser_), который первым сообщил о проблеме в соцсети X* 5 мая 2025 года, баг связан с тем, как Chrome обрабатывает заголовки Link в подзапросах к ресурсам. В отличие от других браузеров, Chrome интерпретирует Link-заголовок даже в таких запросах, позволяя злоумышленнику задать политику referrer-policy со значением unsafe-url и тем самым «вытянуть» полный URL вместе с параметрами запроса.
Как пояснил Кокорин, параметры запроса могут содержать критически важную информацию — например, одноразовые токены авторизации, ключи API или временные идентификаторы сессий. Эти данные затем можно незаметно передать на внешний сервер через, например, тег изображения, ссылающийся на сторонний ресурс. В результате становится возможным перехват учётных записей или проведение других атак, зависящих от утечки контекста запроса.
Хотя подтверждений тому, что уязвимость активно эксплуатировалась в реальных атаках, пока нет, PoC-эксплойт к ней уже существует, поэтому Google официально признала наличие реальной эксплуатации. Это делает уязвимость второй в текущем году после CVE-2025-2783 , которая также была замечена в атаках до её устранения.
Чтобы избежать потенциального риска, Google рекомендует как можно скорее обновить Chrome до версий 136.0.7103.113 или 136.0.7103.114 на Windows и macOS, а также до 136.0.7103.113 на Linux. Также стоит учитывать, что уязвимость затрагивает и другие браузеры на базе Chromium — такие как Microsoft Edge, Brave, Opera и Vivaldi. Их пользователям следует установить исправления, как только они станут доступны.
* Социальная сеть запрещена на территории Российской Федерации.
Google выпустила экстренное обновление безопасности для браузера Chrome, устраняющее четыре уязвимости, включая одну, для которой уже существует рабочий эксплойт. Речь идёт об уязвимости CVE-2025-4664 , суть которой — недостаточная проверка политик безопасности в компоненте Loader, что позволяет злоумышленникам получить доступ к конфиденциальным данным из других источников при помощи специально подготовленной HTML-страницы.
По словам специалиста по безопасности Всеволода Кокорина (@slonser_), который первым сообщил о проблеме в соцсети X* 5 мая 2025 года, баг связан с тем, как Chrome обрабатывает заголовки Link в подзапросах к ресурсам. В отличие от других браузеров, Chrome интерпретирует Link-заголовок даже в таких запросах, позволяя злоумышленнику задать политику referrer-policy со значением unsafe-url и тем самым «вытянуть» полный URL вместе с параметрами запроса.
Как пояснил Кокорин, параметры запроса могут содержать критически важную информацию — например, одноразовые токены авторизации, ключи API или временные идентификаторы сессий. Эти данные затем можно незаметно передать на внешний сервер через, например, тег изображения, ссылающийся на сторонний ресурс. В результате становится возможным перехват учётных записей или проведение других атак, зависящих от утечки контекста запроса.
Хотя подтверждений тому, что уязвимость активно эксплуатировалась в реальных атаках, пока нет, PoC-эксплойт к ней уже существует, поэтому Google официально признала наличие реальной эксплуатации. Это делает уязвимость второй в текущем году после CVE-2025-2783 , которая также была замечена в атаках до её устранения.
Чтобы избежать потенциального риска, Google рекомендует как можно скорее обновить Chrome до версий 136.0.7103.113 или 136.0.7103.114 на Windows и macOS, а также до 136.0.7103.113 на Linux. Также стоит учитывать, что уязвимость затрагивает и другие браузеры на базе Chromium — такие как Microsoft Edge, Brave, Opera и Vivaldi. Их пользователям следует установить исправления, как только они станут доступны.
* Социальная сеть запрещена на территории Российской Федерации.