på onsdag Google lanserte oppdateringer for å fikse fire sikkerhetsproblemer i Chrome-nettleseren, inkludert ett som de sa at det er en utnyttelse på gang for.
Sårbarheten med høy alvorlighetsgrad, sporet som CVE-2025-4664 (CVSS-poengsum: 4,3), har blitt karakterisert som et tilfelle av utilstrekkelig håndheving av retningslinjer i en komponent kalt Loader.
“Utilstrekkelig håndheving av retningslinjer i Loader i» Google Chrome før 136.0.7103.113 tillot en ekstern angriper å lekke data fra forskjellige kilder via en spesiallaget HTML-side, ifølge en beskrivelse av feilen.
Teknologigiganten ga sikkerhetsforsker Vsevolod Kokorin (@slonser_) æren for å ha beskrevet feilen i X 5. mai 2025, og la til at de er klar over at “et utnyttelsespunkt for CVE-2025-4664 eksisterer i naturen”.
“I motsetning til andre nettlesere, løser Chrome lenkehodet på underressursforespørsler”, sa Kokorin i en serie innlegg på X tidligere denne måneden. “Problemet er at lenkehodet kan spesifisere en henvisningspolicy. Vi kan spesifisere unsafe-url og fange opp de fullstendige spørreparametrene.”
Forskeren la videre til at søkeparametere kan inneholde sensitiv informasjon som kan føre til fullstendig kontoovertakelse, og at informasjonen om spørreparametere kan bli stjålet via et bilde fra en tredjepartsressurs.
Det er ikke klart om sårbarheten ble utnyttet i en ondsinnet kontekst utenfor denne demonstrasjonen av konseptbeviset (PoC). CVE-2025-4664 er den andre sårbarheten etter CVE-2025-2783 som har falt under “aktiv utnyttelse” i en fri stat.
For å beskytte mot potensielle trusler anbefales det å oppdatere Chrome-nettleseren til versjon 136.0.7103.113/.114 for Windows og Mac, og 136.0.7103.113 for Linux. Brukere av andre Chromium-baserte nettlesere som Microsoft Edge, Brave, Opera og Vivaldi anbefales også å installere oppdateringene etter hvert som de blir tilgjengelige.
Oppdatering #
Det amerikanske byrået for cybersikkerhet og infrastruktursikkerhet (CISA) lagt på torsdag til CVE-2025-4664 i katalogen over kjente utnyttede sårbarheter ( KEV ), som krever at føderale etater installerer rettelsene innen 5. juni 2025








