美國CISA警告：Chrome高危險漏洞CVE-2025-4664已遭攻擊利用

據美國網路安全暨基礎設施安全局（CISA）最新發布的警告，Google Chrome瀏覽器一個高嚴重性漏洞：CVE-2025-4664正被駭客積極利用。CISA已將此漏洞列入「已知被利用漏洞」（Known Exploited Vulnerabilities，KEV）清單，顯示威脅程度嚴重。

Google於5月15日發布修補程式，緊急修復這個存在於Chrome Loader元件的安全漏洞。資安研究員Vsevolod Kokorin於5月5日首次披露了此漏洞的技術細節，僅隔11天即被確認遭受攻擊利用。

CISA分析指出，此漏洞源於Chrome Loader元件中的政策執行不足問題，允許攻擊者透過精心設計的HTML頁面觸發跨來源資料洩漏，進而可能導致帳戶被接管。漏洞影響Windows、macOS及Linux平台上所有v136.0.7103.113/.114版本之前的Chrome瀏覽器。

Vsevolod Kokorin解釋，CVE-2025-4664的問題在於Chrome的Link標頭可以設置referrer-policy。攻擊者可以指定unsafe-url並捕獲完整的查詢參數。查詢參數可能包含敏感資料，例如在OAuth流程中，這可能導致帳戶被接管。開發人員很少考慮通過第三方資源的圖像竊取查詢參數的可能性，這使得這種攻擊技巧有效。

值得注意的是，這是Google今年修復的第二個被積極利用的Chrome零日漏洞，此前的CVE-2025-2783漏洞曾被用於針對俄羅斯政府組織、媒體機構和教育機構的網路間諜攻擊。

資安專家建議，Chrome使用者如選擇手動更新瀏覽器，現在就是更新的時候。若要應用最新更新，只需關閉所有開啟的Chrome視窗，然後重新開啟瀏覽器即可。若已啟用自動更新功能，Chrome將在背景自動更新，無需額外操作。

微軟Edge瀏覽器也已修復了CVE-2025-4664漏洞，其他基於Chromium的瀏覽器如Opera和Brave預計很快也會進行修補。