Google lanzó el miércoles actualizaciones para abordar cuatro problemas de seguridad en su navegador web Chrome, incluido uno para el cual dijo que existe una exploit en la naturaleza.
La vulnerabilidad de alta severidad, rastreada como CVE-2025-4664 (Puntuación CVSS: 4.3), se ha caracterizado como un caso de aplicación de políticas insuficiente en un componente llamado cargador.
«La aplicación de políticas insuficiente en el cargador en Google Chrome antes de 136.0.7103.113 permitió que un atacante remoto filtrara datos de origen cruzado a través de una página HTML diseñada», según una descripción de la falla.
El gigante tecnológico acreditó al investigador de seguridad Vsevolod Kokorin (@slonser_) con el detalle de la falla en X el 5 de mayo de 2025, y agregó que es consciente de «Existe un exploit para CVE-2025-4664 en la naturaleza».
«A diferencia de otros navegadores, Chrome resuelve el encabezado de enlace en las solicitudes de subcresuros», dijo Kokorin en una serie de publicaciones en X a principios de este mes. «El problema es que el encabezado de enlace puede establecer una política de referente. Podemos especificar inseguro-url y capturar los parámetros de consulta completa».
El investigador luego agregó que los parámetros de consulta pueden contener datos confidenciales que pueden conducir a una toma de cuenta completa y que la información de los parámetros de consulta puede ser robado a través de una imagen de un recurso de terceros.
No está claro si la vulnerabilidad fue explotada en un contexto malicioso fuera de esta demostración de prueba de concepto (POC). CVE-2025-4664 es la segunda vulnerabilidad después de que CVE-2025-2783 ha estado bajo «explotación activa» en la naturaleza.
Para salvaguardar contra posibles amenazas, se recomienda actualizar su navegador Chrome a las versiones 136.0.7103.113/.114 para Windows y Mac, y 136.0.7103.113 para Linux. También se recomienda a los usuarios de otros navegadores basados en el cromo como Microsoft Edge, Brave, Opera y Vivaldi que apliquen las soluciones cuando estén disponibles.
Actualizar
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA), el jueves, agregó CVE-2025-4664 a su conocido catálogo de vulnerabilidades explotadas (KEV), que requiere que las agencias federales apliquen las soluciones antes del 5 de junio de 2025.