5月14日Google發布電腦版Chrome更新136.0.7103.113、136.0.7103.114,修補已遭利用的零時差漏洞CVE-2025-4664,15日美國網路安全暨基礎設施安全局(CISA)將此漏洞加入已遭利用的漏洞列表(KEV),要求聯邦機構在6月5日完成修補。
對於這項漏洞發生的原因,Google僅表示是Loader元件的政策執行不夠充分,並將其危險程度評為高風險層級。但原始公布這項弱點的Solidlab資安研究員slonser透露,起因是Chrome在請求子資源(subresource)的過程裡,會解析連結的標頭,一旦攻擊者在標頭設置了參考的政策,就有機會利用不安全的URI截取完整的查詢參數,而有可能因此洩露敏感資料。研究人員指出,若是在執行OAuth身分驗證的流程裡,攻擊者可從中挾持帳號。
值得留意的是,雖然CISA評估此漏洞的風險值僅有4.3分,但由於已有攻擊出現,用戶還是應儘速套用更新因應。
附帶一提的是,這次Google雖然表示修補了4項漏洞,但僅有提到其中兩項,另一項被提及的是CVE-2025-4609,這項由研究人員Micky於4月22日通報的弱點,存在於Mojo元件,起因是在不特定的情況下會出現不正確處理的現象,Google將這項漏洞評為高風險層級。
熱門新聞
2025-06-09
2025-06-09
2025-06-10
2025-06-09
2025-06-09
2025-06-09
Advertisement