São Paulo — InkDesign News — Uma vulnerabilidade recém-divulgada no Google Chrome e navegadores baseados em Chromium está expondo os usuários a riscos de vazamento de dados. Conhecida como CVE-2025-4664, a falha permite que atacantes extraiam informações sensíveis, como tokens de login e IDs de sessão de sites anteriormente visitados.
Incidente e vulnerabilidade
O exploit está relacionado ao tratamento que o Chrome faz do cabeçalho HTTP de Link ao carregar sub-recursos, como imagens e scripts. Enquanto a maioria dos navegadores ignora as políticas de referência nesses cabeçalhos, o Chrome as aceita até mesmo em requisições cross-origin. Isso permite que um atacante configure deliberadamente uma política permissiva, como unsafe-url, para acessar URLs de referência completas.
Essas URLs podem conter dados sensíveis de outros sites que o usuário visitou recentemente. Se o atacante controla o servidor de destino, ele pode coletar essas informações sem que o usuário perceba.
Impacto e resposta
Os usuários afetados incluem aqueles com as seguintes versões de sistemas operacionais:
- Windows: Chrome versões anteriores a 136.0.7103.113;
- Debian 11 Linux: Chromium até a versão 120.0.6099.224;
- Gentoo Linux: Chrome ou Chromium versões anteriores a 136.0.7103.113.
A empresa de cibersegurança Wazuh noticiou o problema, abordando a necessidade de detecção proativa de vulnerabilidades. A coleta de dados não autorizada pode comprometer severamente a privacidade dos usuários, levando a implicações legais e financeiras.
Mitigações recomendadas
Em resposta à vulnerabilidade, o Google lançou uma atualização de emergência para corrigir a falha no Chrome no Windows e no Chromium no Gentoo Linux. Para usuários do Debian, é recomendado desinstalar versões afetadas do Chromium até que uma versão corrigida esteja disponível.
Se o Chrome não estiver atualizando automaticamente, os usuários podem seguir estes passos:
- Abra o Chrome — Inicie o Google Chrome em seu dispositivo.
- Vá ao Menu — Clique nos três pontos verticais no canto superior direito da janela do navegador.
- Selecione “Ajuda” → “Sobre o Google Chrome” — Isso abrirá uma nova aba que mostrará sua versão atual e verificará automaticamente se há atualizações.
- Espere o Chrome verificar atualizações — Se uma versão mais recente estiver disponível, o Chrome começará a baixá-la imediatamente.
- Clique em “Reiniciar” — Após o download, clique em “Reiniciar” para reiniciar o navegador e concluir a instalação.
“A detecção proativa de vulnerabilidades é crucial na defesa cibernética.”
(“Proactive vulnerability detection is crucial in cybersecurity defense.”)— Wazuh, Especialista em Cibernética
Após a reinicialização, os usuários devem verificar novamente se o Chrome está atualizado, através de “Ajuda > Sobre o Google Chrome”. Além disso, é vital que o serviço de atualização do Chrome esteja habilitado nas configurações do sistema em Windows, enquanto usuários de Linux podem precisar executar comandos do gerenciador de pacotes ou fazer downloads manuais, dependendo da distribuição.
É imperativo que os usuários estejam cientes dos riscos remanescentes e das práticas recomendadas de segurança para mitigar possíveis ataques futuros. As vulnerabilidades como a CVE-2025-4664 ressaltam a importância da atualização regular do software e das estratégias de defesa em várias camadas.
Fonte: (Hack Read – Segurança Cibernética)
