Google экстренно обновляет Chrome из-за уязвимостей, уже используемых хакерами

Новая уязвимость в Chrome — уже используется хакерами. Google выпустила экстренное обновление для Chrome версия 136.0.7103.113/114 — причина серьёзная: две критические уязвимости, одна из которых уже эксплуатируется в реальных атаках. Что произошло? Уязвимость CVE-2025-4664 найдена в компоненте Loader: браузер некорректно проверяет политики безопасности. О баге сообщил исследователь Всеволод Кокорин 5 мая 2025 года. Эксплойт уже гуляет по интернету и применяется для атак. Что это значит? Хакер может подсунуть тебе HTML-страницу, через которую: Получит доступ к данным с других сайтов да, даже к токенам авторизации . Обойдёт ограничения Chrome. В некоторых случаях — даже исполнит код вне песочницы браузера. Всё плохо. Злоумышленник подсовывает заголовок Link с хитрой referrer-policy. В результате браузер случайно отдаёт всю строку запроса. Если в URL сидит access_token или auth_code — он уходит злоумышленнику. Вторая дыра — CVE-2025-4609 Mojo Это уже баг в IPC межпроцессном взаимодействии . Позволяет вылезти из песочницы Chrome, нарушить память и поднять привилегии. Технических деталей пока нет, но… звучит стрёмно. Что делать прямо сейчас? Обновите Chrome вручную: Меню → Справка → О браузере Google Chrome → Обновить. Используете Brave, Edge, Opera, Vivaldi? — они тоже на Chromium. Ждём патчей. Расскажите друзьям. Потому что атаки уже идут. Мартовская дыра в Chrome CVE-2025-2783 использовалась для атак на СМИ, вузы и госорганы. Злоумышленники действуют быстро. Не надо ждать, пока будет поздно. Баг уже эксплуатируют. Обновитесь. Перестаньте жить на автопилоте. ITsec NEWS

Внепланово обновляем Chrome Google выпустила экстренное обновление безопасности для Chrome, которое устраняет уязвимость CVE-2025-4664. Через эту дыру возможна утечка конфиденциальных данных, а в худшем случае — захват аккаунта. Пример эксплуатации уже опубликован, поэтому злоумышленники могут начать попытки эксплуатации в ближайшее время. Проблема связана с недостаточным соблюдением политик безопасности в загрузчике страниц Chrome. Например, когда сайт загружает изображение со стороннего сервера, это может приводить к утечке ключа аутентификации OAuth. Уязвимость затрагивает Windows, Linux и Mac, поэтому настоятельно рекомендуем установить обновления как можно скорее. Если заветная кнопка Update в вашем Chrome ещё не появилась, воспользуйтесь нашими рекомендациями по принудительному обновлению. #новости #патчи #Chrome

В Chrome патчат уязвимость с уже доступным эксплоитом Компания Google выпустила срочное обновление для устранения уязвимости в браузере Chrome, которая могла привести к полному захвату аккаунта в случае успешной эксплуатации.

Чат, который думает за тебя

Google выпустила экстренные обновления для устранения четырех проблем безопасности в браузере Chrome, для одной из которых, по данным поставщика, существует эксплойт в дикой природе. Уязвимость высокой серьезности отслеживается как CVE-2025-4664 CVSS: 4,3 и связана с недостаточно неэффективным механизмом применения политики в компоненте под названием Loader в Google Chrome до 136.0.7103.113. Уязвимость может быть использована удаленным злоумышленником «для утечки данных из разных источников через специально созданную HTML-страницу» и привести к полному захвату аккаунта в случае успешной эксплуатации. Google приписывает раскрытие недостатка исследователю Solidlab Всеволоду Кокорину slonser_ , представившего описание проблемы в X 5 мая 2025 года, отметив свои осведомленность в существовании эксплойта для CVE-2025-4664 в дикой природе. Несмотря на отсутствие подробностей, именно такую формулировку Google обычно использует, когда уязвимость Chrome используется для вредоносных атак. Так что можно считать CVE-2025-4664 второй уязвимостью после CVE-2025-2783, попававшей под «активную эксплуатацию». Slonser пояснил, что злоумышленник может изменить заголовок Link, который Chrome разрешает в запросах подресурсов, чтобы захватить параметры запроса, содержащие конфиденциальную информацию. При этом разработчики редко рассматривают возможность кражи параметров запроса через изображение со стороннего ресурса, что делает этот трюк иногда удивительно полезным. Для защиты от потенциальных угроз рекомендуется обновить браузер Chrome до версий 136.0.7103.113/.114 для Windows и Mac и 136.0.7103.113 для Linux. Пользователям других браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применить исправления по мере их появления.

Внепланово обновляем Chrome Google выпустила экстренное обновление безопасности для Chrome, которое устраняет уязвимость CVE-2025-4664. Через эту дыру возможна утечка конфиденциальных данных веб-сессии, что может привести в том числе к захвату аккаунта. Эксплойт публичный, поэтому злоумышленники могут начать попытки эксплуатации в ближайшее время. Проблема связана с недостаточным соблюдением политик безопасности в компоненте Loader Chrome, что позволяет удалённому атакующему установить нужную ему referrer policy, например unsafe-url, и похищать конфиденциальные данные из сессии. В PoC, когда сайт загружает изображение со стороннего сервера, это приводит к утечке конфиденциальных параметров OAuth. Уязвимость затрагивает Windows, Linux и Mac, поэтому настоятельно рекомендуем установить обновления как можно скорее. Если заветная кнопка Update в вашем Chrome ещё не появилась, воспользуйтесь нашими рекомендациями по принудительному обновлению. Тем временем Microsoft внесла улучшение в кодовую базу Chromium, касающееся Windows. Теперь Chrome будет пытаться снижать права de-elevate при запуске с административными привилегиями. Этот же механизм существует в Edge с 2019 года и снижает вероятность успешного развития атаки, если злоумышленникам удалось скомпрометировать браузер. #новости #патчи #Chrome

‍ Срочное обновление Chrome: Google устраняет критическую уязвимость CVE-2025-4664 с уже доступным эксплоитом CVE-2025-4664 — уязвимость в компоненте Loader браузера Chrome. Она может привести к полному захвату аккаунта в случае успешной эксплуатации. Проблема описывается как некорректная реализация политик в компоненте Loader, которое позволяет удаленным злоумышленникам передавать cross-origin данные через вредоносные HTML-страницы. godnoTECH - Новости IT