Команда безпеки Google оприлюднила інформацію про виявлення критичної вразливості CVE-2025-4664 у браузері Chrome, яка становить серйозну загрозу для конфіденційності користувацьких даних. Вразливість дозволяє зловмисникам отримувати несанкціонований доступ до облікових записів через маніпуляції з cross-origin запитами. У відповідь на це Google терміново випустила оновлення безпеки для всіх підтримуваних платформ.
Технічний аналіз вразливості
Український дослідник кібербезпеки Всеволод Кокорін з компанії Solidlab виявив критичний недолік у компоненті Loader браузера Chrome. Вразливість пов’язана з нестандартною обробкою заголовка Link при завантаженні субресурсів. Особливо небезпечним є використання параметра referrer-policy зі значенням unsafe-url, що створює можливість для перехоплення конфіденційних даних з параметрів HTTP-запитів.
Механізми експлуатації та потенційні наслідки
Найбільшу небезпеку вразливість становить для систем аутентифікації, що використовують протокол OAuth. Зловмисники можуть перехоплювати автентифікаційні токени та інші конфіденційні параметри через завантаження зображень з контрольованих ними доменів. Ця техніка атаки особливо ефективна проти веб-додатків, які не впроваджують додаткові механізми захисту від витоку параметрів запиту.
Рекомендації щодо захисту
Google випустила патч у версіях Chrome 136.0.7103.113 (Windows/Linux) та 136.0.7103.114 (macOS). Фахівці з кібербезпеки наполегливо рекомендують користувачам негайно оновити браузер до останньої версії. Для перевірки поточної версії необхідно відкрити меню налаштувань та перейти до розділу “Про браузер Chrome”.
Хоча наразі не зафіксовано випадків активної експлуатації вразливості, наявність публічної інформації про механізм атаки значно підвищує ризики для незахищених систем. Рекомендується активувати автоматичне оновлення браузера та регулярно перевіряти наявність нових оновлень безпеки. Додатково варто впровадити багатофакторну автентифікацію та використовувати надійні паролі для мінімізації ризиків компрометації облікових записів.
