Google lanzó el miércoles actualizaciones para afrontar cuatro problemas de seguridad en su navegador web Chrome, incluido uno para el cual dijo que existe una exploit en la naturaleza.
La vulnerabilidad de suscripción severidad, rastreada como CVE-2025-4664 (Puntuación CVSS: 4.3), se ha caracterizado como un caso de aplicación de políticas insuficiente en un componente llamado cargador.
“La aplicación de políticas insuficiente en el cargador en Google Chrome antiguamente de 136.0.7103.113 permitió que un atacante remoto filtrara datos de origen cruzado a través de una página HTML diseñada”, según una descripción de la equivocación.
El cíclope tecnológico acreditó al investigador de seguridad Vsevolod Kokorin (@slonser_) con el detalle de la equivocación en X el 5 de mayo de 2025, y agregó que es consciente de “Existe un exploit para CVE-2025-4664 en la naturaleza”.
“A diferencia de otros navegadores, Chrome resuelve el encabezado de enlace en las solicitudes de subcresuros”, dijo Kokorin en una serie de publicaciones en X a principios de este mes. “El problema es que el encabezado de enlace puede establecer una política de referente. Podemos especificar inseguro-url y capturar los parámetros de consulta completa”.
El investigador luego agregó que los parámetros de consulta pueden contener datos confidenciales que pueden conducir a una toma de cuenta completa y que la información de los parámetros de consulta puede ser robado a través de una imagen de un solicitud de terceros.
No está claro si la vulnerabilidad fue explotada en un contexto malvado fuera de esta demostración de prueba de concepto (POC). CVE-2025-4664 es la segunda vulnerabilidad luego de que CVE-2025-2783 ha estado bajo “explotación activa” en la naturaleza.
Para preservar contra posibles amenazas, se recomienda modernizar su navegador Chrome a las versiones 136.0.7103.113/.114 para Windows y Mac, y 136.0.7103.113 para Linux. Asimismo se recomienda a los usuarios de otros navegadores basados en el cromo como Microsoft Edge, Brave, Opera y Vivaldi que apliquen las soluciones cuando estén disponibles.
Refrescar
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA), el jueves, agregó CVE-2025-4664 a su conocido catálogo de vulnerabilidades explotadas (KEV), que requiere que las agencias federales apliquen las soluciones antiguamente del 5 de junio de 2025.
