5月14日Google发布电脑版Chrome更新136.0.7103.113、136.0.7103.113.114，修补已遭利用的零时差漏洞CVE-2025-4664，15日美国网路安全暨基础设施安全局（CISA）将此漏洞加入已遭利用的漏洞列表（KEV），要求联邦机构在6月5日完成修补。

对于这项漏洞发生的原因，Google仅表示是Loader元件的政策执行不够充分，并将其危险程度评为高风险层级。但原始公布这项弱点的Solidlab资安研究员slonser透露，起因是Chrome在请求子资源（subresource）的过程里，会解析连结的标头，一旦攻击者在标头设置了参考的政策，就有机会利用不安全的URI截取完整的查询参数，而有可能因此洩露敏感资料。研究人员指出，若是在执行OAuth身分验证的流程里，攻击者可从中挟持帐号。

值得留意的是，虽然CISA评估此漏洞的风险值仅有4.3分，但由于已有攻击出现，用户还是应儘速套用更新因应。

附带一提的是，这次Google虽然表示修补了4项漏洞，但仅有提到其中两项，另一项被提及的是CVE-2025-4609，这项由研究人员Micky于4月22日通报的弱点，存在于Mojo元件，起因是在不特定的情况下会出现不正确处理的现象，Google将这项漏洞评为高风险层级。