紧急警报！这个Chrome漏洞已被修复却仍在被黑客利用！CISA发布最后通牒令

美国网络安全和基础设施安全局(CISA)近日将一个新的Chrome浏览器漏洞列入其"已知被利用漏洞"(KEV)目录，这表明该漏洞正在被黑客积极利用。CISA要求联邦民事行政部门(FCEB)机构必须在三周内完成修补或停止使用该浏览器。

漏洞详情
这个编号为CVE-2025-4664的漏洞由安全研究团队Solidlab发现，被描述为"Google Chrome加载器中策略执行不足"。根据美国国家漏洞数据库(NVD)的解释，该漏洞允许远程攻击者通过精心构造的HTML页面泄露跨域数据。
发现该漏洞的研究员Vsevolod Kokorin解释道："查询参数可能包含敏感数据——例如在OAuth流程中，这可能导致账户被接管。开发者很少考虑通过第三方资源的图像窃取查询参数的可能性。"

漏洞修复时间线****
5月5日：漏洞首次被发现
5月14日：谷歌发布修复补丁
6月5日：联邦机构最后修补期限
虽然谷歌没有明确说明该漏洞是否已被用于实际攻击，但承认存在公开的漏洞利用方法，这通常意味着攻击已经在进行中。

受影响版本及修复方案
安全版本为：
Windows/Linux：136.0.7103.113
macOS：136.0.7103.114
Chrome通常会自动部署更新，但用户仍需确认自己运行的版本是否已更新。

浏览器安全威胁加剧
CISA警告称："这类漏洞是恶意网络行为者的常见攻击媒介，对联邦企业构成重大风险。"浏览器作为最常被攻击的目标之一，因其需要处理来自互联网各处不受信任的数据。网络犯罪分子不断寻找浏览器代码、插件或安全性不足的网站中的漏洞，试图窃取登录凭证或入侵更广泛的网络系统。

专家建议

1. 立即检查Chrome版本并更新至最新
2. 企业用户应优先部署补丁
3. 警惕可疑网页和链接
4. 考虑临时使用其他浏览器作为过渡方案