A Google lançou uma atualização de segurança para o navegador Chrome nesta quarta-feira (15), corrigindo quatro falhas, incluindo uma vulnerabilidade grave que já está sendo explorada ativamente. A falha, identificada como CVE 2025 4664 (pontuação CVSS: 4.3), é resultado de uma aplicação inadequada de políticas de segurança no componente “Loader”. Segundo a descrição técnica, a vulnerabilidade permitia que invasores remotos acessassem dados de outros domínios por meio de páginas HTML manipuladas, contornando as políticas de origem cruzada (cross origin).

A descoberta foi feita pelo pesquisador de segurança Vsevolod Kokorin (@slonser_) que publicou detalhes sobre o problema na rede X no início de maio. Kokorin explicou que, ao contrário de outros navegadores, o Chrome processa o cabeçalho “Link” em requisições de subrecursos, o que pode ser explorado para definir políticas de referência (referrer policy) inseguras como “unsafe url”. Isso possibilita capturar parâmetros de consulta (query parameters), muitas vezes contendo dados sensíveis como tokens de autenticação, os quais podem ser extraídos via imagens de terceiros.

Apesar de não haver confirmação de uso malicioso além da prova de conceito, o CVE 2025 4664 é o segundo bug explorado ativamente este ano, após o CVE 2025 2783. Para se proteger, usuários devem atualizar o Chrome para as versões 136.0.7103.113 ou .114 no Windows e Mac, e 136.0.7103.113 no Linux. Navegadores baseados no Chromium como Edge, Brave, Opera e Vivaldi também deverão aplicar as correções assim que estiverem disponíveis.