紧急预警!新Chrome漏洞(CVE-2025-4664)致跨域数据泄露,请立即更新
紧急预警!新Chrome漏洞(CVE-2025-4664)致跨域数据泄露,请立即更新
原创 道玄安全 道玄网安驿站 2025-05-15 23:02
“
CVE-2025-4664。”
PS:有内网web自动化需求可以私信
01
—
导语
近日,Google紧急发布Chrome浏览器更新,修复了一个正在被黑客
主动利用
的高危漏洞(CVE-2025-4664,CVSS评分4.3)。该漏洞源于Chrome的
Loader组件策略执行不严
,允许攻击者通过特制HTML页面
窃取跨域敏感数据
,甚至可能导致用户账户被完全接管。
一.漏洞技术细节:如何绕过安全策略?
- 漏洞核心逻辑
Chrome在处理子资源请求时,未正确限制
Link头部
中的
referrer-policy
设置。攻击者可利用此缺陷,将策略设置为
unsafe-url
,从而在跨域请求中
窃取URL的完整查询参数
。这些参数可能包含用户令牌、身份验证信息等敏感数据。
示例攻击场景
:恶意页面通过加载第三方图片资源,将参数信息泄露至攻击者控制的服务器。
-
攻击链影响
-
敏感数据泄露
:如用户登录凭证、会话ID等可能被盗取。 -
账户劫持风险
:攻击者可利用泄露信息模拟用户身份,接管账户。 -
跨域隐私突破
:绕过浏览器同源策略(Same-Origin Policy),威胁用户隐私。
二.受影响范围与修复版本
-
受影响版本
:Chrome 136.0.7103.113之前的
所有桌面端及Linux版本
。 -
修复版本
: -
Windows/Mac:
136.0.7103.113/.114 -
Linux:
136.0.7103.113 -
其他浏览器
:基于Chromium的浏览器(如Edge、Brave、Opera)需同步更新补丁。
三.用户应对措施
-
立即更新浏览器
-
手动检查更新:Chrome用户访问
chrome://settings/help
,触发自动更新。 -
企业用户:通过管理工具批量部署补丁。
-
临时缓解方案
(不推荐长期使用) -
禁用JavaScript(可能影响正常网页功能)。
-
避免访问不可信网页或点击可疑链接。
四.漏洞背景:跨域攻击为何危险?
浏览器的
同源策略
(Same-Origin Policy)本是保护用户数据的关键机制,限制不同源(协议、域名、端口)间的资源访问。然而,此次漏洞通过
Loader组件的策略缺陷
绕过了这一防护,使得恶意页面能窃取其他域的数据。
类似漏洞(如CVE-2025-2783)近期也遭利用,凸显浏览器安全组件需持续加固。
五.企业安全建议
-
主动监控
:部署流量分析工具,检测异常跨域请求。 -
强化CORS配置
:服务器端应严格设置
Access-Control-Allow-Origin
等头部,仅允许信任的域名。 -
员工培训
:提升对钓鱼攻击和可疑链接的识别能力。
结语
此次漏洞再次警示:浏览器作为日常高频工具,其安全更新不可忽视。用户务必立即行动,避免成为攻击者的“数据猎物”。对于开发者而言,需关注
跨域资源共享(CORS)策略
的合理配置,从源头减少风险。
保护网络安全,从每一次更新开始!
免责声明:
本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。
第二十七条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具;明知他人从事危害网络安全的活动,不得为其提供技术支持、广告推广、支付结算等帮助
第十二条: 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
第十三条: 国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。