Een kwetsbaarheid in Google Chrome waardoor het mogelijk is om accounts van gebruikers te kapen wordt actief misbruikt bij aanvallen, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Google kwam afgelopen woensdag 14 mei met een beveiligingsupdate voor het probleem (CVE-2025-4664). Op dat moment was er al exploitcode publiekelijk beschikbaar.

Google meldde in eerste instantie dat het bekend is met berichten dat een exploit voor CVE-2025-4664 in het wild bestaat. Het techbedrijf heeft deze tekst inmiddels aangepast. Er wordt nu gemeld dat kennis van het beveiligingslek openbaar is. De kwetsbaarheid wordt veroorzaakt door het onvoldoende handhaven van policies in het Loader-onderdeel van de browser. Via een speciaal geprepareerde website kan een aanvaller data stelen van andere websites die het slachtoffer in de browser geopend heeft.

"Het probleem is dat de Link-header een referrer-policy kan instellen. We kunnen een unsafe-url specificeren en de volledige query parameter opvangen", zegt beveiligingsonderzoeker Vsevolod Kokorin die het probleem op 5 mei via X bekendmaakte. "Query parameters kunnen gevoelige data bevatten, bijvoorbeeld in OAuth flows, dit kan tot het overnemen van een account leiden."

Het CISA houdt een online catalogus van actief aangevallen kwetsbaarheden bij. Het cyberagentschap heeft nu ook CVE-2025-4664 aan deze lijst toegevoegd. Details over de waargenomen aanvallen zijn echter niet gegeven. Amerikaanse overheidsdiensten zijn opgedragen om hun installaties van Google Chrome voor 5 juni te updaten. Google liet weten dat de beveiligingsupdate de komende dagen/weken onder gebruikers wordt uitgerold. Gebruikers die hier niet op willen wachten kunnen een handmatige update uitvoeren.