A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) emitiu, na passada quinta-feira, um aviso urgente destinado às agências federais norte-americanas, instando-as a protegerem os seus sistemas contra ataques que estão a explorar ativamente uma vulnerabilidade de alta gravidade no popular navegador Google Chrome.
A falha, identificada como CVE-2025-4664, foi descoberta pelo investigador de segurança Vsevolod Kokorin, da Solidlab, que partilhou detalhes técnicos sobre a mesma no dia 5 de maio. A Google, por sua vez, já tinha lançado as respetivas atualizações de segurança para corrigir o problema na quarta-feira, dia 14 de maio de 2025.
CVE-2025-4664: Como uma falha na gestão de links pode roubar os seus dados
Segundo Kokorin, a vulnerabilidade reside numa aplicação insuficiente de políticas no componente "Loader" do Google Chrome. Uma exploração bem-sucedida desta falha pode permitir que atacantes remotos acedam a dados entre diferentes origens (cross-origin) através de páginas HTML criadas com fins maliciosos.
O investigador explicou o mecanismo: "Provavelmente sabem que, ao contrário de outros navegadores, o Chrome resolve o cabeçalho 'Link' em pedidos de sub-recursos. Mas qual é o problema? A questão é que o cabeçalho 'Link' pode definir uma política de 'referrer'. Podemos especificar 'unsafe-url' e capturar todos os parâmetros da consulta".
Estes parâmetros de consulta podem conter informações sensíveis. Kokorin alerta que, "por exemplo, em fluxos OAuth, isto pode levar ao roubo de contas (Account Takeover). Os programadores raramente consideram a possibilidade de roubar parâmetros de consulta através de uma imagem de um recurso de terceiros."
Embora a Google não tenha divulgado inicialmente se a vulnerabilidade já tinha sido explorada ou se ainda estava a sê-lo, a empresa alertou num comunicado de segurança que existe um exploit (código que se aproveita da falha) público, um indício habitual de que a falha está a ser ativamente utilizada por cibercriminosos.
Google já lançou correção, prazo federal é apertado
Um dia após o alerta da Google, a CISA confirmou que a CVE-2025-4664 está efetivamente a ser explorada "no terreno" e adicionou-a ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). Este catálogo lista falhas de segurança que estão a ser ativamente usadas em ciberataques.
Conforme estipulado pela Diretiva Operacional Vinculativa (BOD) 22-01, de novembro de 2021, as agências federais civis do executivo dos EUA (FCEB) têm um prazo de três semanas, ou seja, até aproximadamente 5 de junho de 2025 (calculado a partir do aviso da CISA de 15 de maio), para aplicar os patches nas suas instalações do Chrome e proteger os seus sistemas contra potenciais brechas de segurança.
Apesar desta diretiva se aplicar apenas a agências federais norte-americanas, a CISA aconselha vivamente que todos os responsáveis pela defesa de redes priorizem a aplicação desta correção o mais rapidamente possível. "Estes tipos de vulnerabilidades são vetores de ataque frequentes para atores cibernéticos maliciosos e representam riscos significativos para as entidades federais", advertiu a agência.
Segunda vulnerabilidade zero-day do Chrome explorada em 2025
Este é o segundo caso de uma vulnerabilidade zero-day (falha sem correção conhecida no momento da sua exploração) no Chrome a ser corrigida pela Google este ano, após um outro bug de alta severidade (CVE-2025-2783). A falha anterior foi utilizada para atacar organizações governamentais russas, meios de comunicação e instituições de ensino em campanhas de ciberespionagem.
Investigadores da Kaspersky, que detetaram os ataques relacionados com a CVE-2025-2783, afirmaram na altura que os atacantes usaram exploits para essa vulnerabilidade de forma a contornar as proteções de sandbox do Google Chrome e infetar os alvos com malware.
A recomendação é clara: atualize o seu Chrome o mais depressa possível
Dada a gravidade da situação e a confirmação de exploração ativa, é crucial que todos os utilizadores do Google Chrome verifiquem se o seu navegador está atualizado para a versão mais recente que inclui a correção para a CVE-2025-4664. Manter o software atualizado é uma das medidas mais eficazes para se proteger contra este tipo de ameaça.
Nenhum comentário
Seja o primeiro!