May 15, 2025

記事、「Google Chrome」にゼロデイ脆弱性

 「Google Chrome」にゼロデイ脆弱性、アカウント乗っ取りに悪用できてしまう可能性 - 窓の杜 (05/15)

Windows環境にはv136.0.7103.113/.114が展開中、できるだけ早い更新を

 

CVE番号が公開されているのは以下二点。前者は KEV Catalog に掲載された(掲載 05/15、対応期限 06/05)。

 

l  NVD - CVE-2025-4664 『Insufficient policy enforcement in Loader in Google Chrome prior to 136.0.7103.113 allowed a remote attacker to leak cross-origin data via a crafted HTML page. (Chromium security severity: High)

 

l  CVE - CVE-2025-4609 『Incorrect handle provided in unspecified circumstances』との事だが、詳細は未発表。

 

同記事で引用されているX投稿 ↓

Xユーザーのslonserさん: 「Query parameters can contain sensitive data - for example, in OAuth flows, this might lead to an Account Takeover. Developers rarely consider the possibility of stealing query parameters via an image from a 3rd-party resource - which makes this trick surprisingly useful sometimes https://t.co/z2tCiBPTfR」 / X

興味深い。
当てずっぽうだが、『同じ実装が何年も前からあって、密かに悪用されていた』ということでは?


投稿者 時刻:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)