Nova falha no Chrome permite vazamento de dados entre sites

O Google lançou uma atualização de emergência para o navegador Chrome, corrigindo quatro falhas de segurança — uma delas já estaria sendo explorada por hackers em ataques reais. A vulnerabilidade mais crítica, identificada como CVE-2025-4664 e com pontuação CVSS de 4.3, está relacionada à aplicação insuficiente de políticas de segurança em um componente do navegador chamado Loader.

Segundo a descrição técnica, a falha permitia que um invasor remoto conseguisse vazar dados entre sites de diferentes origens (cross-origin) por meio de uma página HTML maliciosamente construída. Isso ocorre porque, ao contrário de outros navegadores, o Chrome interpreta o cabeçalho Link em requisições de sub-recursos, o que pode ser manipulado para definir uma política de referência (referrer-policy) insegura. Quando configurada para unsafe-url, essa política pode expor parâmetros de consulta (query parameters) que frequentemente contêm informações sensíveis, como tokens de autenticação ou dados pessoais.

O problema foi relatado no dia 5 de maio de 2025 pelo pesquisador de segurança Vsevolod Kokorin (@slonser_), que demonstrou publicamente como a falha poderia ser usada para roubar dados sensíveis por meio de uma simples imagem carregada de um servidor externo. Embora não haja confirmação de uso malicioso fora da prova de conceito apresentada, o Google reconheceu que há explorações ativas em circulação, o que coloca milhões de usuários em risco.

Esta é a segunda falha de segurança do Chrome explorada ativamente neste ano — a anterior foi a CVE-2025-2783. O Google recomenda que todos os usuários atualizem imediatamente o navegador para as versões 136.0.7103.113 ou .114 no Windows e macOS, e 136.0.7103.113 no Linux. Usuários de navegadores baseados no Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também devem aplicar as correções assim que disponíveis.

Via - THN