A Agência de Segurança Cibernética e de Infraestrutura (CISA) emitiu um alerta urgente nesta quinta-feira (16) direcionado às agências federais dos Estados Unidos, advertindo sobre uma vulnerabilidade crítica no navegador Google Chrome que já está sendo explorada por agentes mal-intencionados.
A falha, identificada como CVE-2025-4664, foi descoberta pelo pesquisador Vsevolod Kokorin, da Solidlab, que publicou uma análise técnica do problema em 5 de maio. No dia seguinte, o Google liberou uma atualização de segurança para mitigar o risco.
Segundo Kokorin, a origem do problema está na aplicação inadequada de políticas no componente Loader do Chrome. Isso permite que sites HTML maliciosos obtenham dados de outras origens — uma violação grave da política de mesma origem que protege os navegadores modernos contra roubo de informações.
Um dos principais vetores de exploração envolve o uso do cabeçalho Link em requisições de sub-recursos. “Diferente de outros navegadores, o Chrome interpreta esse cabeçalho e pode aplicar políticas como unsafe-url, o que pode expor parâmetros de consulta sensíveis”, explicou Kokorin. Tais parâmetros, presentes em fluxos OAuth, podem incluir dados privados, facilitando o sequestro de contas se interceptados.
Embora o Google não tenha confirmado ataques anteriores, reconheceu a existência de uma exploração pública da falha, o que, segundo padrões da indústria, indica uso ativo por cibercriminosos.
Inclusão no catálogo de falhas exploradas
A CISA confirmou rapidamente o uso indevido da CVE-2025-4664 e a adicionou ao Catálogo de Vulnerabilidades Exploradas Conhecidas — uma base mantida para identificar falhas que representam risco imediato à segurança de sistemas federais.
De acordo com a Diretiva Operacional Vinculativa (BOD) 22-01, todas as agências do Poder Executivo Civil Federal (FCEB) devem aplicar os patches de segurança até 7 de maio, o que dá um prazo de três semanas para garantir a proteção dos sistemas governamentais.
Apesar de o mandado ser específico para entidades federais, a CISA recomenda que todas as organizações corrijam a falha com máxima prioridade, considerando o potencial de exploração em larga escala.
“Vulnerabilidades como essa são portas de entrada comuns para agentes de ameaça e colocam em risco tanto dados governamentais quanto ativos corporativos”, alertou a agência.
Segundo bug grave em 2025
Essa é a segunda falha grave no Chrome explorada neste ano. A primeira, CVE-2025-2783, foi usada em ataques de espionagem digital que visaram órgãos do governo russo, veículos de mídia e universidades. De acordo com pesquisadores da Kaspersky, os atacantes utilizaram essa brecha para ultrapassar a sandbox do Chrome e instalar malware nos sistemas invadidos.
A reincidência de falhas exploradas em curto intervalo destaca a importância da manutenção constante de navegadores atualizados, principalmente em ambientes de missão crítica como os governamentais.
