美国网络安全和基础设施安全局(CISA)近日警告联邦机构,必须加强安全措施以防范正在进行的攻击,这些攻击利用了Chrome浏览器中的一个高严重性漏洞。据报道,安全研究员Vsevolod Kokorin发现了该漏洞(CVE-2025-4664),并在5月5日在线分享了技术细节。Google随后在星期三发布了安全更新进行修复。
Kokorin指出,漏洞源于Google Chrome加载器组件中政策执行不足,成功利用可使远程攻击者通过恶意HTML页面泄露跨域数据。虽然Google没有透露该漏洞是否曾被攻击利用,但在安全公告中警告称该漏洞存在公共利用程序,这通常意味着漏洞正在被积极利用。
第二天,CISA确认CVE-2025-4664已在野外被滥用,并将其加入了“已知被利用漏洞”目录中。根据2021年11月发布的22-01号运营指令,美国联邦民事执行部门机构必须在三周内(即5月7日之前)修补Chrome安装,以保护系统免受潜在攻击。虽然该指令只适用于联邦机构,但建议所有网络防御人员尽快修复此漏洞。