L'errore 0-Day CVE-2025-4664 di Chrome rivela l'attività del browser Windows e Linux

Una vulnerabilità recentemente scoperta in Google Chrome e nei browser basati su Chromium sta mettendo gli utenti a rischio di perdite di dati. Identificata come CVE-2025-4664 , la falla consente agli aggressori di estrarre informazioni sensibili come token di accesso e ID di sessione da siti web visitati in precedenza.

Il problema di sicurezza è stato descritto in dettaglio oggi da Wazuh, un'azienda di sicurezza informatica specializzata nel rilevamento di minacce open source. Riguarda gli utenti sia Windows che Linux, inclusi i sistemi Debian e Gentoo.

Il problema risiede nella gestione da parte di Chrome dell'intestazione HTTP " Link " durante il caricamento di risorse secondarie come immagini e script. Mentre la maggior parte dei browser ignora le policy di referrer in queste intestazioni, Chrome le accetta, anche nelle richieste cross-origin. Ciò significa che un aggressore può intenzionalmente impostare una policy meno restrittiva, come unsafe-url , per accedere agli URL di referrer completi.

Questi URL possono includere dati sensibili provenienti da altri siti visitati di recente dall'utente. Se un aggressore controlla il server di destinazione, può raccogliere silenziosamente tali dati all'insaputa dell'utente.

Gli utenti dei seguenti sistemi sono vulnerabili se i loro browser non sono stati aggiornati:

• Windows : versioni di Google Chrome precedenti alla 136.0.7103.113

• Debian 11 Linux : Chromium fino alla versione 120.0.6099.224

• Gentoo Linux : versioni di Chrome o Chromium precedenti alla 136.0.7103.113

Google ha rilasciato un aggiornamento di emergenza per correggere la vulnerabilità in Chrome su Windows e Chromium su Gentoo Linux. Gli utenti Debian dovrebbero disinstallare le versioni interessate di Chromium fino a quando non sarà disponibile una versione con patch.

Se Chrome non si aggiorna automaticamente, segui questi passaggi per assicurarti di utilizzare la versione più recente e di essere protetto da CVE-2025-4664:

1. Apri Chrome : avvia Google Chrome sul tuo dispositivo.
2. Vai al menu : fai clic sui tre punti verticali nell'angolo in alto a destra della finestra del browser.
3. Seleziona “Guida” → “Informazioni su Google Chrome” : si aprirà una nuova scheda che mostra la versione corrente e verifica automaticamente la presenza di aggiornamenti.
4. Attendi che Chrome verifichi la presenza di aggiornamenti : se è disponibile una versione più recente, Chrome inizierà subito a scaricarla.
5. Fare clic su "Riavvia" – Una volta scaricato l'aggiornamento, fare clic su "Riavvia" per riavviare il browser e completare l'installazione.

Per confermare l'aggiornamento, torna a Guida > Informazioni su Google Chrome . Il browser dovrebbe ora mostrare il numero di versione più recente e il messaggio "Google Chrome è aggiornato".

Se utilizzi Windows, assicurati che il servizio di aggiornamento di Chrome sia abilitato nelle impostazioni di sistema o tramite l'Editor Criteri di gruppo. Sui sistemi Linux, in particolare quelli che utilizzano Chromium, gli aggiornamenti potrebbero richiedere comandi del gestore pacchetti o download manuali a seconda della distribuzione.

Il post sul blog di Wazuh spiega l'importanza del rilevamento proattivo delle vulnerabilità. I ​​loro strumenti forniscono monitoraggio e informazioni in tempo reale che aiutano gli amministratori a rimanere al passo con le minacce alla sicurezza, soprattutto quando entrano in gioco falle zero-day come questa.