01漏洞详情

影响组件

Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件，目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎，提升浏览器的处理速度。支持多标签浏览，每个标签页面都在独立的“沙箱”内运行。libvpx是开源的视频编解码器库，可以同时支持VP8和VP9视频编码。

漏洞描述

近日，奇安信CERT监测到 Google 发布公告称Google Chrome 跨源数据泄露漏洞(CVE-2025-4664)存在在野利用，该漏洞源于 Google Chrome 加载程序中的策略执行不足，远程攻击者利用此漏洞可使浏览器发起请求时携带完整的URL，导致敏感信息泄露。目前该漏洞已发现在野利用。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

02影响范围

影响版本

Google Chrome(Windows/Mac) < 136.0.7103.113/.114

Google Chrome(Linux) < 136.0.7103.113

其他受影响组件

无

03复现情况

目前，奇安信威胁情报中心安全研究员已成功复现Google Chrome 跨源数据泄露漏洞(CVE-2025-4664)，截图如下：

04处置建议

安全更新

目前官方已发布安全更新，建议用户尽快升级至最新版本：

Google Chrome(Windows/Mac) >= 136.0.7103.113/.114Google Chrome(Linux) >= 136.0.7103.113官方补丁下载地址：https://www.google.cn/chrome/

版本检测及升级步骤：

1．查看右上角的“更多”图标，选择帮助 -> 关于Google Chrome 

2．等待版本下载完成后，选择重新启动

3．查看当前版本

05参考资料

https://chromereleases.googleblog.com/2025/05/stable-channel-update-for-desktop_14.html

06时间线

2024年5月15日，奇安信 CERT发布安全风险通告。

07漏洞情报服务

奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务：