Google pada hari Rabu merilis pembaruan untuk mengatasi empat masalah keamanan di browser web Chrome -nya, termasuk satu yang dikatakan ada eksploitasi di alam liar.
Kerentanan tingkat tinggi, dilacak sebagai CVE-2025-4664 (Skor CVSS: 4.3), telah dicirikan sebagai kasus penegakan kebijakan yang tidak mencukupi dalam komponen yang disebut Loader.
“Penegakan kebijakan yang tidak mencukupi di loader di Google Chrome sebelum 136.0.7103.113 memungkinkan penyerang jarak jauh untuk membocorkan data lintas-asal melalui halaman HTML yang dibuat,” menurut deskripsi cacat.
Raksasa teknologi itu memuji peneliti keamanan vsevolod kokorin (@slonser_) dengan merinci cacat pada X pada 5 Mei 2025, menambahkan itu sadar “eksploitasi untuk CVE-2025-4664 ada di alam liar.”
“Tidak seperti browser lainnya, Chrome menyelesaikan tautan tautan pada permintaan sub-sumber,” kata Kokorin dalam serangkaian posting di X awal bulan ini. “Masalahnya adalah header tautan dapat mengatur kebijakan-kebijakan. Kami dapat menentukan tidak aman dan menangkap parameter kueri penuh.”
Peneliti melanjutkan untuk menambahkan bahwa parameter kueri dapat berisi data sensitif yang dapat menyebabkan pengambilalihan akun lengkap dan bahwa informasi parameter kueri dapat dicuri melalui gambar dari sumber daya pihak ketiga.
Tidak jelas apakah kerentanan itu dieksploitasi dalam konteks jahat di luar demonstrasi Proof-of-Concept (POC) ini. CVE-2025-4664 adalah kerentanan kedua setelah CVE-2025-2783 mengalami “eksploitasi aktif” di alam liar.
Untuk melindungi terhadap potensi ancaman, disarankan untuk memperbarui browser chrome mereka ke versi 136.0.7103.113/.114 untuk Windows dan Mac, dan 136.0.7103.113 untuk Linux. Pengguna browser berbasis kromium lainnya seperti Microsoft Edge, Brave, Opera, dan Vivaldi juga disarankan untuk menerapkan perbaikan saat dan ketika tersedia.
