Компанія Google закликала користувачів негайно оновити браузер Chrome через високу вразливість, що дає змогу віддаленим зловмисникам викрадати конфіденційні дані з інших сайтів.
Компанія Google закликала користувачів негайно оновити браузер Chrome через високу вразливість, що дає змогу віддаленим зловмисникам викрадати конфіденційні дані з інших сайтів.
За даними The Hacker News, Google 8 травня випустив версії Chrome 136.0.7103.113 (Windows, macOS) та 136.0.7103.113 (Linux), які закривають чотири критичні й високі вразливості. Найсерйозніша з них — CVE-2025-4664 (CVSS 4.3) — стосується компонента Loader і пов’язана з недостатнім дотриманням політики Referrer при обробці підресурсів.
Атака працює шляхом створення спеціально сформованої HTML-сторінки, що містить підзапит із заголовком Link, який встановлює Referrer-Policy як unsafe-url. Оскільки Chrome застосовує заголовок у підресурсах (наприклад, при завантаженні зображень), шкідливий код може отримати повний URL із параметрами запиту — часто там знаходяться токени, ідентифікатори сеансів або інші конфіденційні дані.
Google підтверджує, що «експлойт для CVE-2025-4664 уже існує в природі», тож відкладати оновлення не можна. Інші виправлені помилки в Chrome стосуються некоректної обробки специфічних сценаріїв JavaScript та помилок у реалізації мережевих запитів.
Минулого року Chrome стикався з кількома критичними помилками в обробці політик безпеки, зокрема CORS та заголовків Content Security Policy. Складність сучасного вебу й постійний розвиток експлуатаційних технік змушують розробників регулярно оновлювати як ядро браузера, так і механізми перевірки заголовків HTTP.
Варто зазначити, що є ймовірність того, що сам Chrome можуть відокремити від Google в рамках справи, яка наразі розглядається у федеральному суді США. Після чергового судового засідання керівник продукту ChatGPT OpenAI Нік Терлі заявив, що їхня компанія не проти придбати браузер.
