Es un caso de aplicación insuficiente de políticas en un componente llamado Loader
Google lanzó el miércoles actualizaciones para abordar cuatro problemas de seguridad en su navegador web Chrome, incluido uno para el cual dijo que existe un exploit activo.
La vulnerabilidad de alta gravedad, identificada como CVE-2025-4664 (puntuación CVSS: 4,3), se ha caracterizado como un caso de aplicación insuficiente de políticas en un componente llamado Loader.
"La aplicación insuficiente de políticas en Loader en Google Chrome anterior a la versión 136.0.7103.113 permitió que un atacante remoto filtrara datos de origen cruzado a través de una página HTML diseñada", según una descripción de la falla.
El gigante tecnológico atribuyó al investigador de seguridad Vsevolod Kokorin (@slonser_) el detalle de la falla en X el 5 de mayo de 2025 y agregó que sabe que "existe un exploit para CVE-2025-4664".
"A diferencia de otros navegadores, Chrome resuelve el encabezado "Link" en las solicitudes de subrecursos", explicó Kokorin en una serie de publicaciones en X a principios de este mes. "El problema radica en que el encabezado "Link" puede establecer una política de referencia. Podemos especificar una URL insegura y capturar todos los parámetros de la consulta".
El investigador agregó que los parámetros de consulta pueden contener datos confidenciales que pueden llevar al robo total de la cuenta y que la información de los parámetros de consulta puede ser robada a través de una imagen de un recurso de terceros.
No está claro si la vulnerabilidad se explotó en un contexto malicioso fuera de esta demostración de prueba de concepto (PoC). CVE-2025-4664 es la segunda vulnerabilidad, después de CVE-2025-2783, que se ha explotado activamente.
Para protegerse contra posibles amenazas, se recomienda actualizar el navegador Chrome a las versiones 136.0.7103.113/.114 para Windows y Mac, y 136.0.7103.113 para Linux. También se recomienda a los usuarios de otros navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones a medida que estén disponibles.
