Компания Google выпустила срочное обновление для своего браузера Chrome, направленное на устранение критической уязвимости, которая могла позволить злоумышленникам похищать конфиденциальные данные пользователей и потенциально приводить к полному захвату аккаунтов. Об этом сообщает издание «Хакер».
Уязвимость, получившая идентификатор CVE-2025-4664, была обнаружена специалистом компании Solidlab Всеволодом Кокориным. Суть проблемы заключалась в некорректной реализации политик в компоненте Loader браузера (анимированный индикатор, показывающий загрузку веб-ресурса, – «Газета.Ru»), что позволяло злоумышленникам передавать cross-origin данные (данные, которые веб-страницы могут запрашивать с ресурсов, расположенных на другом домене, что по-умолчанию запрещено, – «Газета.Ru») при посещении пользователем специально созданных вредоносных HTML-страниц.
Как выяснил исследователь, вследствие использования этого несовершенства браузера, хакеры потенциально могли красть токены авторизации OAuth, эксплуатация которых могла привести к компрометации пользовательских аккаунтов. Токены авторизации OAuth – это специальный класс учетных данных, который позволяет онлайн-сервисам опознавать пользователей без прямого прямого получения логина и пароля.
Разработчики Google устранили уязвимость в Chrome версии 136.0.7103.113 для Windows/Linux и 136.0.7103.114 для macOS. Эти обновленные версии уже начали развертываться среди пользователей по всему миру.
Хотя в Solidlab не сообщили об известных случаях эксплуатации этой уязвимости в реальных атаках, в Google предупредили, что для CVE-2025-4664 уже существует публично доступный эксплойт. Пользователям рекомендуется как можно скорее обновить браузер до актуальной версии.
Ранее в Google Chrome нашли уязвимость, которая позволяла хакерам взламывать ПК.