Googleは水曜日に、Chromeウェブブラウザの4つのセキュリティ問題に対処するためのアップデートをリリースしました。その中には、野生でエクスプロイトが存在するとされるものも含まれています。
高深刻度の脆弱性であるCVE-2025-4664(CVSSスコア:4.3)は、ローダーと呼ばれるコンポーネントにおけるポリシーの不十分な施行のケースとして特徴付けられています。
「Google Chromeのバージョン136.0.7103.113以前のローダーにおけるポリシーの不十分な施行により、細工されたHTMLページを介してリモート攻撃者がクロスオリジンデータを漏洩させることが可能でした」と、欠陥の説明に記されています。
この技術大手は、セキュリティ研究者のVsevolod Kokorin (@slonser_)が2025年5月5日にXでこの欠陥を詳細に説明したことに感謝し、「CVE-2025-4664のエクスプロイトが野生で存在することを認識している」と付け加えました。
「他のブラウザとは異なり、Chromeはサブリソースリクエストでリンクヘッダーを解決します」と、Kokorinは今月初めにXでの一連の投稿で述べました。「問題は、リンクヘッダーがリファラーポリシーを設定できることです。私たちはunsafe-urlを指定し、完全なクエリパラメータをキャプチャできます。」
研究者はさらに、クエリパラメータにはアカウントの完全な乗っ取りにつながる可能性のある機密データが含まれている可能性があり、クエリパラメータ情報はサードパーティのリソースからの画像を介して盗まれる可能性があると付け加えました。
この脆弱性がこの概念実証(PoC)デモンストレーションの外で悪意のあるコンテキストで悪用されたかどうかは不明です。CVE-2025-4664は、「野生でのアクティブなエクスプロイト」の下にあるCVE-2025-2783に続く2番目の脆弱性です。
潜在的な脅威から守るためには、WindowsおよびMac用のバージョン136.0.7103.113/.114、Linux用のバージョン136.0.7103.113にChromeブラウザを更新することが推奨されます。Microsoft Edge、Brave、Opera、Vivaldiなどの他のChromiumベースのブラウザのユーザーも、修正が利用可能になったときに適用することが推奨されます。
翻訳元: https://thehackernews.com/2025/05/new-chrome-vulnerability-enables-cross.html