گوگل به‌روزرسانی‌های امنیتی اضطراری برای رفع آسیب‌پذیری شدید در مرورگر کروم منتشر کرده که می‌تواند منجر به تسخیر کامل حساب کاربری شود. این آسیب‌پذیری با شناسه CVE-2025-4664 توسط محقق امنیتی Vsevolod Kokorin کشف شده و مربوط به اجرای ناکافی سیاست در کامپوننت Loader کروم است که به مهاجمان اجازه نشت داده‌های cross-origin از طریق صفحات HTML مخرب را می‌دهد.

مشکل در این است که کروم برخلاف سایر مرورگرها، هدر Link را در درخواست‌های subresource حل می‌کند و این هدر می‌تواند referrer-policy تنظیم کند. مهاجمان می‌توانند با استفاده از unsafe-url، پارامترهای query کامل را که ممکن است حاوی داده‌های حساس مانند توکن‌های OAuth باشند، به سرقت ببرند. گوگل این مشکل را در نسخه‌های 136.0.7103.113 برای ویندوز/لینوکس و 136.0.7103.114 برای macOS رفع کرده است.