Зашёл на сайт — отдал сессию: критический баг в Chrome превращает любую страницу в шпиона
Один незаметный заголовок оказался ключом к вашим личным данным.
Google выпустила экстренное обновление безопасности для браузера Chrome, устраняющее четыре уязвимости, включая одну, для которой уже существует рабочий эксплойт. Речь идёт об уязвимости CVE-2025-4664 , суть которой — недостаточная проверка политик безопасности в компоненте Loader, что позволяет злоумышленникам получить доступ к конфиденциальным данным из других источников при помощи специально подготовленной HTML-страницы.
По словам специалиста по безопасности Всеволода Кокорина (@slonser_), который первым сообщил о проблеме в соцсети X* 5 мая 2025 года, баг связан с тем, как Chrome обрабатывает заголовки Link в подзапросах к ресурсам. В отличие от других браузеров, Chrome интерпретирует Link-заголовок даже в таких запросах, позволяя злоумышленнику задать политику referrer-policy со значением unsafe-url и тем самым «вытянуть» полный URL вместе с параметрами запроса.
Как пояснил Кокорин, параметры запроса могут содержать критически важную информацию — например, одноразовые токены авторизации, ключи API или временные идентификаторы сессий. Эти данные затем можно незаметно передать на внешний сервер через, например, тег изображения, ссылающийся на сторонний ресурс. В результате становится возможным перехват учётных записей или проведение других атак, зависящих от утечки контекста запроса.
Хотя подтверждений тому, что уязвимость активно эксплуатировалась в реальных атаках, пока нет, PoC-эксплойт к ней уже существует, поэтому Google официально признала наличие реальной эксплуатации. Это делает уязвимость второй в текущем году после CVE-2025-2783 , которая также была замечена в атаках до её устранения.
Чтобы избежать потенциального риска, Google рекомендует как можно скорее обновить Chrome до версий 136.0.7103.113 или 136.0.7103.114 на Windows и macOS, а также до 136.0.7103.113 на Linux. Также стоит учитывать, что уязвимость затрагивает и другие браузеры на базе Chromium — такие как Microsoft Edge, Brave, Opera и Vivaldi. Их пользователям следует установить исправления, как только они станут доступны.
* Социальная сеть запрещена на территории Российской Федерации.