Cybersecurity Newsは、「この脆弱性はChromeのMojoインタープロセス・コミュニケーション(IPC)レイヤーにおいて、特定の状況下で不適切なハンドルが提供されることに起因する。不正なコードの実行やサンドボックスの回避につながる可能性があり、ウェブオリジン間の不正なデータ漏洩など、重大なリスクを伴う」と警告している。さらに「これはゼロデイ脆弱性として分類されており、グーグルがパッチを公開する前からすでに悪用されていた可能性があるため、緊急の対策が必要だ」と指摘している。
Chromeブラウザーにアップデートがダウンロード済みかどうかを確認し、「再起動してインストールを完了する」よう求める通知が出ていないか注意する必要がある。今回修正済みとされるバージョンは136.0.7103.113/.114だ。複数のタブを開いたまま作業していても躊躇せず、今すぐアップデートを適用するべきである。
同じ警告はマイクロソフトのEdgeにも当てはまる。「このCVEはChromeによって最初に発見された」とマイクロソフトは明言しており、「ChromiumをベースにしたMicrosoft EdgeはChromiumを取り込んでいるため、この修正も同様に脆弱性を解消する」という。
🚨#CVE-2025-4664: Chrome vulnerability prior to 136.0.7103.113 allows attackers to leak cross-origin data via the img tag src attribute. When Chrome loads these attacker-controlled image URLs, the endpoint returns Link headers with 'unsafe-url' referrer-policy, causing a referer…
— Checkmarx Zero (@CheckmarxZero) May 18, 2025advertisement
Medium上のCyber-AppSecは、この脆弱性の詳しい解説をすでに公開している。「この欠陥はChromeのローダーコンポーネントに影響し、リンクヘッダーを巧妙に利用することで、攻撃者が他サイトから機密データを盗む可能性がある」という。その背景には、Chromeが特定のリクエストに含まれるリンクヘッダーを処理する際、完全なURLにセッション情報を付与した状態で外部に送信される恐れがあるという性質がある。多くのブラウザーはこのようなリクエストのリンクヘッダーを重視しないが、Chromeはこれを処理するために攻撃者に悪用されやすい。
この攻撃はすでに公知の手口になっている。グーグルの警告では、この緊急アップデートは「今後数日から数週間のうちに段階的に配信される」とされていたが、実際には大多数のユーザーにすでに行き渡っている模様だ。脆弱性が公表されてからアップデートが出るまでの期間が短く、かつCISAからのアップデート義務が発されていることを考慮すると、非常に迅速に展開されたといえる。ただしソフトウェアを自動ダウンロードしただけでは不十分であり、いくつかのChromeコミュニティでは「すべてのChromeユーザーは今すぐブラウザを再起動しなければならない」と再三警告されている。
グーグルの説明によれば、「通常、アップデートはコンピューターのブラウザーを閉じて再度開いたときにバックグラウンドで完了する。だが、しばらくブラウザーを閉じていない場合は、保留中のアップデートがあるという通知が表示されることがある」という。Chromeは「開いていたタブやウィンドウを保存し、再起動時に自動で再度開く」仕様だが、シークレットタブだけは「再起動時に復元されない」。
グーグルは「今すぐ再起動したくない場合は「後で」を選択すると、次にChromeを再起動するときにアップデートが適用される」としている。しかし、これは今回のように実際に悪用が確認されている脆弱性の修正にはふさわしくない。今すぐ再起動してパッチを適用することが推奨される。
