周四,CISA警告美国联邦机构保护其系统免受利用Chrome网络浏览器中高严重性漏洞的持续攻击。

Solidlab安全研究员Vsevolod Kokorin发现了这个漏洞(CVE-2025-4664),并于5月5日在线分享了技术细节。released security updates谷歌周三发布了安全更新以修补它。

正如Kokorin解释的那样,due该漏洞是由于Google Chrome的Loader组件中策略执行不力,并且成功的利用可以允许远程攻击者通过恶意制作的HTML页面泄漏跨源数据。

你可能知道,与其他浏览器不同,Chrome 会解析子资源请求上的 Link 标头。但问题是什么?问题在于 Link 标头可以设置引用策略。我们可以指定不安全的URL并捕获完整的查询参数,“Kokorin指出。

查询参数可以包含敏感数据,例如,在 OAuth 流中,这可能会导致 Account 接管。开发人员很少考虑通过第三方资源的图像窃取查询参数的可能性。

虽然谷歌没有透露该漏洞以前是否在攻击中被滥用,或者它是否仍在被利用,但它在安全咨询中警告说,它有一个公开的漏洞,这通常是它暗示主动利用的方式。

被标记为被积极利用

一天后,CISA证实CVE-2025-4664在野外被滥用,并将其添加到已知的受剥削脆弱性目录中,该目录列出了在攻击中积极利用的安全漏洞。

根据2021年11月具有约束力的操作指令(BOD)22-01,美国联邦文职行政部门(FCEB)机构必须在6月5日之前在三周内修补其Chrome安装,以保护其系统免受潜在违规行为的影响。

虽然此指令仅适用于联邦机构,但建议所有网络维护者尽快优先修补此漏洞。

“这些类型的漏洞是恶意网络行为者的频繁攻击媒介,对联邦企业构成重大风险,”网络安全机构警告说。

这是谷歌今年第二个被谷歌积极利用的Chrome零日修补, 此前又出现了另一个高严重度的Chrome零日漏洞(CVE-2025-2783),该漏洞被滥用于针对俄罗斯政府组织、媒体机构和教育机构的网络间谍攻击。

发现零日攻击的卡巴斯基研究人员表示,威胁行为者使用CVE-2025-2783漏洞绕过Google Chrome的沙箱保护,并用恶意软件感染目标。