كشفت غوغل عن ثغرة أمنية خطيرة في متصفح كروم، تم توثيقها تحت الرمز CVE-2025-4664، تتيح للمهاجمين تسريب بيانات حساسة بين المواقع (Cross-Origin Data Leak) عبر ضعف في تنفيذ سياسة التحميل (Loader Referrer Policy). وأكدت الشركة أن هذه الثغرة يتم استغلالها حالياً في هجمات حقيقية على الإنترنت، مما يجعلها مصدر تهديد فعلي لمستخدمي المتصفح. الثغرة تتركز في آلية تعامل كروم مع ترويسة “Link” عند تحميل الموارد الفرعية، حيث يمكن للمهاجم تعيين سياسة إحالة غير آمنة (unsafe-url) وسرقة المعاملات الحساسة من عنوان URL.
الباحث الأمني فيسيفولود كوكورين هو من اكتشف هذا الخلل، موضحاً أن المعاملات ضمن الروابط يمكن أن تحتوي على معلومات تؤدي إلى الاستيلاء الكامل على الحسابات، خصوصاً إذا ما تم تهريبها إلى خوادم خارجية عبر صور أو عناصر HTML خبيثة. وتشكل هذه الثغرة تهديداً مضاعفاً في البيئات التي تتضمن بيانات اعتماد أو رموز تسجيل دخول داخل روابط تحتوي على استعلامات (query parameters)، حيث تصبح هذه المعلومات مكشوفة أمام أطراف غير مصرح بها.
استجابةً لهذا التهديد، أصدرت غوغل تحديثاً عاجلاً لمتصفح كروم على جميع الأنظمة، فيما حثّت وكالة الأمن السيبراني الأمريكية (CISA) الجهات الفيدرالية على تطبيق الإصلاحات قبل 5 يونيو 2025. كما نُصح مستخدمو المتصفحات المبنية على نواة كروميوم مثل Edge وBrave وVivaldi بالتحديث الفوري، لتفادي الاستغلال النشط للثغرة.
