أصدرت Google تحديثات أمان في حالات الطوارئ لتصحيح ثغرة أمنية عالية الصيغة في متصفح الويب Chrome والتي قد تؤدي إلى استحواذ حساب كامل بعد الاستغلال الناجح.
على الرغم من أنه من غير الواضح ما إذا كان هذا العيب الأمني قد تم استخدامه في الهجمات ، فقد حذرت الشركة من أن لديها استغلالًا عامًا ، وهو ما يلمح عادةً إلى الاستغلال النشط.
“Google is aware of reports that an exploit for CVE-2025-4664 exists in the wild,” قال جوجل في يوم الأربعاء الأمنية.
تم اكتشاف الضعف من قبل باحث أمن SolidLab Vsevolod Kokorin و”https://nvd.nist.gov/vuln/detail/CVE-2025-4664″ الهدف=”_blank” rel=”nofollow noopener”> الموصوفة باعتباره تطبيقًا غير كافٍ للسياسة في مكون محمل Google Chrome والذي يتيح للمهاجمين عن بُعد تسرب البيانات المتقاطعة عبر صفحات HTML المصنوعة ضارًا.
“You probably know that unlike other browsers, Chrome resolves the Link header on subresource requests. But what’s the problem? The issue is that the Link header can set a referrer-policy. We can specify unsafe-url and capture the full query parameters,” شرح كوكورين.
“Query parameters can contain sensitive data – for example, in OAuth flows, this might lead to an Account Takeover. Developers rarely consider the possibility of stealing query parameters via an image from a 3rd-party resource.”
قامت Google بإصلاح العيوب للمستخدمين في قناة سطح المكتب المستقرة ، مع إصدارات مصححة (136.0.7103.113 لنظام التشغيل Windows/Linux و 136.0.7103.114 لـ MacOS) التي يتم طرحها إلى المستخدمين في جميع أنحاء العالم.
على الرغم من أن الشركة تقول إن تحديثات الأمان ستظهر خلال الأيام والأسابيع المقبلة ، إلا أنها كانت متوفرة على الفور عندما فحص BleepingComputer للحصول على التحديثات.
يمكن للمستخدمين الذين لا يرغبون في تحديث Chrome يدويًا أيضًا السماح للمتصفح بالتحقق تلقائيًا من التحديثات الجديدة وتثبيتها بعد الإطلاق التالي.
في مارس ، Google أيضًا”https://www.bleepingcomputer.com/news/security/google-fixes-chrome-zero-day-exploited-in-espionage-campaign/” الهدف=”_blank” rel=”nofollow noopener”> إصلاح كروم صفر عالي الصفر Bug (CVE-2025-2783) التي تعرض للإيذاء لنشر البرامج الضارة في هجمات التجسس التي تستهدف المنظمات الحكومية الروسية ، وسائل الإعلام ، والمؤسسات التعليمية.
قال الباحثون في Kaspersky الذين اكتشفوا يوم الصفر الذي تم استغلاله بنشاط أن المهاجمين يستخدمون مآثر CVE-2025-2783 لتجاوز حماية صندوق الرمل الكروم وأهداف إصابة البرامج الضارة.
العام الماضي ،”https://www.bleepingcomputer.com/news/security/google-tags-a-tenth-chrome-zero-day-as-exploited-this-year/” الهدف=”_blank” rel=”nofollow noopener”> جوجل تصحيح 10 أيام صفر تم الكشف عنها خلال مسابقة القرصنة PWN2OWN أو استغلها في الهجمات.