Google Çarşamba günü, Chrome Web tarayıcısındaki dört güvenlik sorununu ele almak için güncellemeler yayınladı;
Yüksek şiddetli güvenlik açığı, CVE-2025-4664 (CVSS puanı: 4.3), Yükleyici adı verilen bir bileşende yetersiz politika uygulama vakası olarak nitelendirilmiştir.
Kusurun açıklamasına göre, “136.0.7103.113’ten önce Google Chrome’daki yükleyicide yetersiz politika uygulaması, uzak bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla çapraz orijin verilerini sızdırmasına izin verdi.”
Teknoloji devi, 5 Mayıs 2025’te X’teki kusuru detaylandırarak güvenlik araştırmacısı Vsevolod Kokorin’i (@slonser_) kredilendirdi ve “CVE-2025-4664 için bir istismarın vahşi doğada var olduğunu” ekledi.
Kokorin, “Diğer tarayıcıların aksine, Chrome alt kaynak taleplerinde bağlantı üstbilgisini çözüyor,” dedi Kokorin bu ayın başlarında X’deki bir dizi yayında. “Sorun, bağlantı üstbilgisinin bir yönlendirici politiği ayarlayabilmesidir. Güvensiz olmayan-url belirleyebilir ve tam sorgu parametrelerini yakalayabiliriz.”
Araştırmacı, sorgu parametrelerinin tam bir hesap devralmasına yol açabilecek hassas veriler içerebileceğini ve sorgu parametre bilgilerinin üçüncü taraf bir kaynaktan bir görüntü aracılığıyla çalınabileceğini eklemeye devam etti.
Güvenlik açığının bu kavram kanıtı (POC) gösterisinin dışındaki kötü niyetli bir bağlamda kullanılmadığı açık değildir. CVE-2025-4664, CVE-2025-2783’ten sonra vahşi doğada “aktif sömürü” altına giren ikinci güvenlik açığıdır.
Potansiyel tehditlere karşı korunmak için Chrome tarayıcısını Windows ve Mac için 136.0.7103.113/.114 ve Linux için 136.0.7103.113 sürümlerine güncellemesi önerilir. Microsoft Edge, Brave, Opera ve Vivaldi gibi diğer krom tabanlı tarayıcıların kullanıcılarına, düzeltmeleri kullanılabilir oldukları zaman ve ne zaman uygulamaları tavsiye edilir.