goldennet

美國網路安全暨基礎設施安全局（CISA）近日發布警告：Google Chrome 的高嚴重性漏洞 CVE-2025-4664 已遭駭客積極利用，並已被納入 CISA 的「已知被利用漏洞（KEV）」清單，顯示威脅等級非常高。

此漏洞由資安研究員 Vsevolod Kokorin 於 5 月 5 日揭露，Google 隨後在 5 月 15 日緊急釋出修補更新。問題源於 Chrome 的 Loader 元件在政策處理上的缺陷，允許攻擊者透過精心設計的 HTML 頁面竊取跨站資料，甚至可能導致帳號被接管。影響範圍涵蓋 Windows、macOS 與 Linux 平台上 v136.0.7103.113/.114 之前的 Chrome 版本。

攻擊者透過 Link 標頭的 referrer-policy 設定為 unsafe-url，誘導瀏覽器洩露完整查詢參數。在某些情況下，例如 OAuth 認證流程中，這些參數可能包含敏感資訊，一旦被駭客截取，可能導致帳號遭駭。

值得注意的是，這是 Google 今年修補的第二個被積極利用的零日漏洞。上一個 CVE-2025-2783 就曾被用於針對俄羅斯政府、媒體與教育機構的網路間諜活動。

📚 引用來源：資安人科技網新聞，〈美國 CISA 警告：Chrome 高危險漏洞 CVE‑2025‑4664 已遭攻擊利用〉，發布日期 2025 年 5 月 19 日

針對這類瀏覽器零日攻擊，Menlo Security 提供的RBI 與 Cloud Browser 技術是一種極具前瞻性的解決方案

核心防護機制

˙ 所有瀏覽活動在雲端容器或虛擬瀏覽器中進行，終端裝置不直接接觸網站內容，攻擊無從發動

˙ 即使使用者誤點惡意連結，惡意程式碼也無法在本機執行

˙ 查詢參數、Session Token 等敏感資訊不會洩漏至第三方

˙ 不依賴惡意碼特徵或修補時間差，即便尚未更新漏洞，仍能安全隔離

Menlo Security 的 Cloud Browser 透過雲端執行網路請求，可以有效降低瀏覽器漏洞對端點設備造成的威脅，因為任何基於瀏覽器的攻擊，例如惡意軟體或釣魚攻擊，都無法直接觸及端點。這不僅能減少瀏覽器的攻擊面，也能降低端點被駭客入侵的風險。

透過 Menlo RBI 與 Cloud Browser，企業能夠實現真正的零信任瀏覽防護，封鎖從網頁端進來的威脅，包含釣魚網站、網頁漏洞攻擊、甚至未知零日攻擊。

✅ 對尚未啟用 RBI 或 Cloud Browser 的環境，請立即更新 Chrome，

        並關閉所有視窗重新啟動以完成修補

✅Microsoft Edge 已完成修補，Opera、Brave 等

        Chromium 架構瀏覽器預計也將陸續跟進

✅建議企業評估導入 Menlo RBI 與 Cloud Browser，作為長期瀏覽器防護策略

📩 需要深入了解 Menlo Security如何阻擋網頁威脅、保護終端安全？