Der Google Chrome Browser leiden unter einer Handvoll Sicherheitslücken, die im Rahmen eines Updates 136.0.7103.113/114 korrigiert werden Für Windows, MacOS und Linux. Für einen von ihnen unterstrich er eine Leistung in der Natur.

Seit Anfang dieses Jahres 2025 und nach CVE-2025-2783 ist dies die zweite 0-Tage-Verwundbarkeit Berühren Sie Chrome, nämlich ein aktiv ausgebeuteter Fehler, wenn ein Fix nicht verfügbar war. Es bleibt jedoch eine gewisse Unbestimmtheit in Bezug auf eine wirksame Ausbeutung in einem böswilligen Kontext.

Verwundbarkeit CVE-2025-4664 wird als Problem der Anwendung von Sicherheitsrichtlinien in der Laderkomponente dargestellt von Chrom für die Verwaltung des Ladens von Webressourcen. Es ist wichtig für das Management von Sicherheitsrichtlinien.

Erklärungselemente der Gefahr

Der Fehler wurde zu Beginn des Monats im sozialen Netzwerk X vom Sicherheitsforscher Vsevolod Kokorini in SolidLab gemeldet.

Er betont, dass der Browser, wenn eine Ressource von Chrome geladen wird, der HTTP -Link -Header auf Subdressourcen liest. Das Problem liegt in der Kombination dieses Verhaltens und der Möglichkeit, eine Referenzrichtlinie in der Referenzpolitik zu definieren Unsicher über den Header.

Eine dritte und potenziell böswillige Ressource könnte dann die Anfrage mit der gesamten Quell -URL erhalten, einschließlich der Parameter mit vertraulichen Informationen und wahrscheinlich ein Konto eingehen.

„“ “ Die Entwickler berücksichtigen selten die Möglichkeit, Anforderungen über ein Bild aus einer dritten Teilressource zu stehlen, was diesen Tipp in einigen Fällen überraschend nützlich macht „Schreibt den Sicherheitsexperten.

Nur Proof of Concept?

Auch wenn er im Moment keinen Bericht über eine böswillige Ausbeutung zu haben scheint, ist es besser, kein Risiko einzugehen. Zumal der Bericht jetzt auf zehn Tage zurückgeht und sich die Situation seitdem entwickeln konnte.

Um zu prüfen, ob das Speicheraktualisierung verfügbar ist, können Sie es in den Browsereinstellungen manuell von „Hilfe“ und „über Google Chrome“ anfordern.