На 9 май 2025 г. Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ (CISA) издаде спешно предупреждение към всички федерални агенции да подсигурят системите си срещу активно експлоатирана уязвимост с висока степен на сериозност в уеб браузъра Google Chrome.
Уязвимостта, обозначена като CVE-2025-4664, е открита от изследователя по сигурността Всеволод Кокорин от Solidlab и е била публично описана на 5 май, само ден преди Google да пусне обновление за сигурност.
Според техническите детайли, публикувани от Кокорин, CVE-2025-4664 се дължи на недостатъчно прилагане на политики в компонента Loader на Chrome. Уязвимостта позволява на отдалечени нападатели да източват междудомейн (cross-origin) данни чрез зловредно изработени HTML страници.
По-конкретно, проблемът е свързан със специфичния начин, по който Chrome обработва Link хедъри в заявки за зареждане на ресурси. Те могат да задават referrer-policy, и ако се използва стойността unsafe-url, е възможно извличане на пълните query параметри от URL адресите, което отваря врата към сериозни атаки, включително:
Кражба на чувствителни данни от URL адреси
Компрометиране на OAuth потоци
Възможност за пълно превземане на акаунти (Account Takeover)
Google потвърди наличието на публично достъпен експлойт, което обичайно индикира, че уязвимостта вече се използва в реални атаки. Ден по-късно CISA включи CVE-2025-4664 в каталога на известни експлоатирани уязвимости (Known Exploited Vulnerabilities – KEV).
Според задължителната оперативна директива BOD 22-01 от ноември 2021 г., всички агенции от Федералния граждански изпълнителен клон (FCEB) са задължени да приложат обновлението до 7 май, за да избегнат възможни пробиви.
Въпреки че директивата засяга само федерални институции, всички мрежови и ИТ администратори са силно насърчени незабавно да обновят Chrome до последната версия, тъй като уязвимостта представлява сериозен риск от компрометиране на системи чрез уеб атаки.
„Този тип уязвимости често са начален вектор за злонамерени кибердейности и представляват значителна заплаха за цифровата сигурност на организациите,“ предупредиха от CISA.
CVE-2025-4664 е втората активно експлоатирана уязвимост в Chrome за 2025 г. Първата – CVE-2025-2783, бе използвана в кибершпионски атаки срещу руски държавни институции, медии и образователни организации. Тогава нападателите успяха да заобиколят пясъчната среда (sandbox) на Chrome и да инсталират зловреден софтуер.
Ако използвате Google Chrome, незабавно проверете дали е налична актуализация и я инсталирайте. За администратори, които управляват много устройства в организация:
Използвайте инструменти за централизирано управление на политики и софтуер
Следете Known Exploited Vulnerabilities каталога на CISA
Прегледайте логовете за нетипични заявки и трафик от браузъра
CVE-2025-4664 е напомняне, че дори широко използвани и активно поддържани софтуери като Google Chrome могат да съдържат сериозни пропуски, които да се използват в реални атаки. Защитата зависи не само от доставчика на софтуера, но и от бързината и отговорността на системните администратори и крайните потребители.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
