发布时间：2025.05.15

源地址：https://thehackernews.com/2025/05/new-chrome-vulnerability-enables-cross.html

谷歌于周三发布了针对其 Chrome 浏览器的四个安全问题的更新，其中包括一个已知存在实际利用的漏洞。

该高危漏洞编号为 CVE-2025-4664（CVSS 评分：4.3），被描述为 Loader 组件中策略执行不足的问题。

根据该漏洞的描述 ，“Google Chrome 136.0.7103.113 之前版本的 Loader 中策略执行不足，允许远程攻击者通过特制的 HTML 页面泄露跨源数据。”

这家科技巨头感谢安全研究员 Vsevolod Kokorin（@slonser_）于 2025 年 5 月 5 日在 X 平台披露了该漏洞，并表示已知“CVE-2025-4664 的漏洞利用已在野外存在。”

Kokorin 本月早些时候在 X 平台的一系列帖子中表示：“与其他浏览器不同，Chrome 会在子资源请求中解析 Link 头。问题在于 Link 头可以设置 referrer-policy，我们可以指定 unsafe-url 并捕获完整的查询参数。”

该研究员补充道，查询参数可能包含敏感数据，可能导致账户被完全接管，而这些查询参数信息可以通过第三方资源的图片被窃取。

目前尚不清楚该漏洞是否在除概念验证（PoC）之外的恶意环境中被利用。CVE-2025-4664 是继 CVE-2025-2783 之后第二个被确认“在野外被主动利用”的漏洞。

为防范潜在威胁，建议用户将 Chrome 浏览器更新至 Windows 和 Mac 平台的 136.0.7103.113/.114 版本，以及 Linux 平台的 136.0.7103.113 版本。其他基于 Chromium 的浏览器用户，如 Microsoft Edge、Brave、Opera 和 Vivaldi，也应在修复发布后及时应用补丁。