Falha grave no Chrome obriga agências dos EUA a corrigirem navegador com urgência

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Jardeson é Jornalista, Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design...

A Agência de Segurança Cibernética e de Infraestrutura (CISA) emitiu um alerta urgente nesta quinta-feira (16) direcionado às agências federais dos Estados Unidos, advertindo sobre uma vulnerabilidade crítica no navegador Google Chrome que já está sendo explorada por agentes mal-intencionados.

A falha, identificada como CVE-2025-4664, foi descoberta pelo pesquisador Vsevolod Kokorin, da Solidlab, que publicou uma análise técnica do problema em 5 de maio. No dia seguinte, o Google liberou uma atualização de segurança para mitigar o risco.

Segundo Kokorin, a origem do problema está na aplicação inadequada de políticas no componente Loader do Chrome. Isso permite que sites HTML maliciosos obtenham dados de outras origens — uma violação grave da política de mesma origem que protege os navegadores modernos contra roubo de informações.

Um dos principais vetores de exploração envolve o uso do cabeçalho Link em requisições de sub-recursos. “Diferente de outros navegadores, o Chrome interpreta esse cabeçalho e pode aplicar políticas como unsafe-url, o que pode expor parâmetros de consulta sensíveis”, explicou Kokorin. Tais parâmetros, presentes em fluxos OAuth, podem incluir dados privados, facilitando o sequestro de contas se interceptados.

Embora o Google não tenha confirmado ataques anteriores, reconheceu a existência de uma exploração pública da falha, o que, segundo padrões da indústria, indica uso ativo por cibercriminosos.

Inclusão no catálogo de falhas exploradas

Chrome 128 tem aplicativos da Web isolados e zoom CSS padronizado

A CISA confirmou rapidamente o uso indevido da CVE-2025-4664 e a adicionou ao Catálogo de Vulnerabilidades Exploradas Conhecidas — uma base mantida para identificar falhas que representam risco imediato à segurança de sistemas federais.

De acordo com a Diretiva Operacional Vinculativa (BOD) 22-01, todas as agências do Poder Executivo Civil Federal (FCEB) devem aplicar os patches de segurança até 7 de maio, o que dá um prazo de três semanas para garantir a proteção dos sistemas governamentais.

Apesar de o mandado ser específico para entidades federais, a CISA recomenda que todas as organizações corrijam a falha com máxima prioridade, considerando o potencial de exploração em larga escala.

“Vulnerabilidades como essa são portas de entrada comuns para agentes de ameaça e colocam em risco tanto dados governamentais quanto ativos corporativos”, alertou a agência.

Segundo bug grave em 2025

Essa é a segunda falha grave no Chrome explorada neste ano. A primeira, CVE-2025-2783, foi usada em ataques de espionagem digital que visaram órgãos do governo russo, veículos de mídia e universidades. De acordo com pesquisadores da Kaspersky, os atacantes utilizaram essa brecha para ultrapassar a sandbox do Chrome e instalar malware nos sistemas invadidos.

A reincidência de falhas exploradas em curto intervalo destaca a importância da manutenção constante de navegadores atualizados, principalmente em ambientes de missão crítica como os governamentais.

Compartilhe este artigo