O Google lançou atualizações de segurança de emergência para corrigir uma vulnerabilidade de alta gravidade no navegador Chrome que pode levar ao controle total da conta após uma exploração bem-sucedida.
Embora não esteja claro se essa falha de segurança foi usada em ataques, a empresa alertou que ela tem um exploit público, que é como geralmente indica uma exploração ativa.
“O Google está ciente dos relatos de que existe um exploit para o CVE-2025-4664”, disse o Google em um comunicado de segurança na quarta-feira.
A vulnerabilidade foi descoberta pelo pesquisador de segurança da Solidlab, Vsevolod Kokorin, e é descrita como uma aplicação de política insuficiente no componente Loader do Google Chrome, que permite que invasores remotos vazem dados de origem cruzada por meio de páginas HTML criadas de forma maliciosa.
“Você provavelmente sabe que, ao contrário de outros navegadores, o Chrome resolve o cabeçalho Link em solicitações de sub-recursos. Mas qual é o problema? O problema é que o cabeçalho Link pode definir uma política de referência. Podemos especificar unsafe-url e capturar todos os parâmetros da consulta”, explicou Kokorin .
Parâmetros de consulta podem conter dados confidenciais — por exemplo, em fluxos OAuth, isso pode levar a uma invasão de conta. Desenvolvedores raramente consideram a possibilidade de roubar parâmetros de consulta por meio de uma imagem de um recurso de terceiros.
O Google corrigiu a falha para usuários no canal Stable Desktop, com versões corrigidas (136.0.7103.113 para Windows/Linux e 136.0.7103.114 para macOS) sendo disponibilizadas para usuários no mundo todo.
Embora a empresa diga que as atualizações de segurança serão lançadas nos próximos dias e semanas, elas ficaram disponíveis imediatamente quando o BleepingComputer verificou se havia atualizações.
Usuários que não desejam atualizar o Chrome manualmente também podem deixar o navegador verificar automaticamente novas atualizações e instalá-las após a próxima inicialização.
Em março, o Google também corrigiu um bug de dia zero de alta gravidade no Chrome (CVE-2025-2783) que era usado para implantar malware em ataques de espionagem direcionados a organizações governamentais, veículos de comunicação e instituições educacionais russas.
Os pesquisadores da Kaspersky que descobriram o zero-day explorado ativamente disseram que os invasores usam exploits CVE-2025-2783 para contornar as proteções da sandbox do Chrome e infectar alvos com malware.
No ano passado, o Google corrigiu 10 vulnerabilidades de dia zero divulgadas durante a competição de hackers Pwn2Own ou exploradas em ataques.
