Google a lancé une mise à jour de sécurité pour Chrome qui corrige deux échecs critiques qui, selon l'entreprise elle-même, sont déjà exploités par les attaquants dans des environnements réels. Ce sont deux vulnérabilités à haute gravité qui affectent les composants clés du navigateur : la librairie graphique Skia et le moteur JavaScript / WebAssembly V8.
Le premier des échecs, enregistré comme CVE-2026-3909, correspond à une erreur d'écriture hors limites dans Skia, la bibliothèque 2D Chrome utilise pour dessiner des graphiques. En termes simples, un attaquant peut créer une page HTML manipulée de sorte que le navigateur essaie de lire ou d'écrire la mémoire en dehors de la zone prévue, ce qui peut causer un comportement inattendu ou rendre plus facile pour le code malveillant d'interférer avec l'exécution normale du navigateur.
Le deuxième problème, CVE-2026-3910, affecte V8 et a été décrit comme une implémentation inappropriée qui permet à un attaquant d'exécuter du code arbitraire dans l'environnement restreint du navigateur au moyen d'un site Web préparé à cette fin. Bref, cela signifie qu'une explosion bien conçue pourrait supprimer les barrières de sécurité qui isolent habituellement le code de la page système de l'utilisateur.
Les deux vulnérabilités ont un score CVSS élevé (8.8) et, selon Google, ont été détectés en interne et signalés le 10 mars 2026. L'entreprise a confirmé qu'il y a des exploits actifs pour ces défaillances de la nature, mais, comme d'habitude dans ces cas, elle n'a pas partagé de détails techniques sur son fonctionnement ou qui pourrait être derrière les abus pour empêcher des acteurs plus malveillants de les reproduire. La note officielle de Google sur la mise à jour est disponible sur votre blog de version Chrome: Mise à jour du canal stable pour le bureau.
Cette intervention intervient des semaines après une correction de gravité similaire dans le composant CSS du navigateur, identifié comme CVE-2026-2441, qui porte à trois le nombre de cero-jours activement exploité que Google a patché depuis le début de l'année. Ce modèle souligne que les navigateurs restent une cible prioritaire pour les acteurs qui cherchent à compromettre les appareils par de simples visites de pages Web manipulées.
Pour te protéger, Google recommande de mettre à jour Chrome aux 146.0.7680.75 / 76 versions sur Windows et macOS, et à 146.0.7680.75 sur Linux. Le moyen le plus rapide pour vérifier si vous avez déjà le patch est d'ouvrir Chrome, aller à Plus > Aide > Informations de Google Chrome et permettre au navigateur de redémarrer après le téléchargement de la mise à jour. La page d'aide officielle de Google explique ce processus plus en détail: Comment mettre à jour Google Chrome.
Si vous utilisez des navigateurs construits sur Chrome, tels que Microsoft Edge, Brave, Opera ou Vivaldi, il est conseillé de garder un œil sur vos propres mises à jour: beaucoup des corrections pour Chrome sont ensuite intégrées dans ces projets, mais les délais de déploiement peuvent varier entre les fournisseurs. Maintenir le navigateur mis à jour est la mesure la plus efficace et simple contre ce type de menace.
En plus d'appliquer la mise à jour dès que possible, il convient de maintenir les bonnes pratiques de base qui réduisent les risques: éviter de cliquer sur des liens suspects, ne pas visiter des sites d'origine douteuse, limiter les extensions installées à celles strictement nécessaires et garder le système d'exploitation et le logiciel de sécurité à jour. Bien que les pratiques ne soient pas toujours parfaites, ces mesures aident à atténuer l'exposition pendant que les fabricants lancent des patchs.
Le fait que Google a dû corriger plusieurs jours en peu de temps est un rappel que le paysage de la menace évolue rapidement. Mettre à jour maintenant et redémarrer le navigateur peut être la différence entre passer une journée normale et faire face à un incident de sécurité. Maintenir une mentalité proactive contre les mises à jour et l'hygiène numérique reste la meilleure défense.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...