آژانس امنیت سایبری آمریکا (CISA) به آژانس‌های فدرال هشدار داد تا سیستم‌های خود را در برابر حملات جاری که از آسیب‌پذیری شدید مرورگر کروم سوءاستفاده می‌کنند، ایمن کنند. این آسیب‌پذیری (CVE-2025-4664) توسط محقق امنیتی Vsevolod Kokorin کشف شد و به دلیل عدم اجرای کافی سیاست در کامپوننت Loader کروم، به مهاجمان اجازه می‌دهد تا از طریق صفحات HTML مخرب، داده‌های cross-origin را نشت دهند. مشکل در این است که هدر Link می‌تواند referrer-policy تنظیم کند و پارامترهای حساس query را که ممکن است شامل اطلاعات OAuth باشد، به سرقت ببرد.

CISA این آسیب‌پذیری را به عنوان مورد سوءاستفاده فعال تأیید کرد و آن را به فهرست آسیب‌پذیری‌های شناخته شده اضافه نمود. آژانس‌های فدرال آمریکا باید تا 7 مه (ظرف سه هفته) نصب کروم خود را به‌روزرسانی کنند. این دومین آسیب‌پذیری zero-day کروم است که امسال توسط گوگل پچ شده و در حملات فعال مورد سوءاستفاده قرار گرفته است، پس از CVE-2025-2783 که برای هدف قرار دادن سازمان‌های دولتی روسیه استفاده شد.