Google a publié des correctifs de sécurité pour son navigateur Chrome après avoir identifié une vulnérabilité qui est déjà exploitée dans des environnements réels. L'échec, enregistré comme CVE-2026-2441 et qualifié avec un score CVSS élevé (8.8), affecte le traitement CSS et peut permettre à un attaquant d'exécuter le code à distance à travers une page HTML conçue pour profiter de l'échec; cette description technique se trouve dans la base de données de vulnérabilité NIST, où plus d'informations peuvent être trouvées en détail: NVD - CVE-2026-2441.
La détection a été attribuée à l'enquêteur Shaheen Fazim, qui a signalé le problème le 11 février 2026. Google a publiquement confirmé qu'il y a au moins une explosion active pour cette vulnérabilité, bien qu'à l'heure actuelle l'entreprise n'ait pas communiqué de détails spécifiques sur la façon dont elle est utilisée ou qui les cibles ont été. La note de mise à jour officielle est disponible sur le blog Chrome de sortie: Chrome - Mise à jour du canal stable.
Du point de vue technique, c'est un classique "d'utilisation après-vente" lié au moteur qui interprète les règles CSS. En termes simples, ce type d'échec se produit lorsque le navigateur essaie d'utiliser la mémoire qui a déjà été libérée, qui peut ouvrir la porte à un attaquant manipulant le comportement du programme et le code d'exécution dans les restrictions de l'environnement d'exécution. Bien que l'opération soit souvent limitée à la "boîte à sable" du navigateur, cela ne diminue pas la gravité: navigateurs sont des cibles privilégiées parce qu'ils sont installés sur presque tous les ordinateurs et mobile et traiter le contenu externe en continu, donc un seul échec peut affecter des millions d'utilisateurs.
Cette intervention d'urgence rend CVE-2026-2441 le premier zéro jour activement exploité dans Chrome que Google a patché en 2026. Ce n'est pas un phénomène isolé: au cours de l'année précédente, l'entreprise a corrigé plusieurs vulnérabilités critiques dans le navigateur, dont certaines ont également été exploitées dans la pratique. Cette tendance souligne la nécessité de tenir le logiciel à jour.
En parallèle, ces dernières semaines Apple a également lancé des correctifs pour plusieurs systèmes - y compris iOS, iPadOS et macOS - pour corriger un jour zéro qui avait été utilisé dans des attaques ciblées contre des utilisateurs spécifiques; Apple a décrit cette campagne comme "extrêmement sophistiquée" et publié des informations générales sur ses mises à jour de sécurité sur sa page de support: Apple - Mises à jour de sécurité. Les deux incidents se rappellent que les vulnérabilités sur les plateformes populaires sont souvent exploitées par des acteurs ayant des objectifs différents, des cybercriminels opportunistes aux opérations plus ciblées.
Si vous utilisez Chrome dans Windows ou macOS, Google recommande d'installer les versions 145.0.7632.75 ou 145.0.7632.76; pour Linux la version indiquée est 14.0.7559.75. Pour vérifier que vous avez la dernière version il suffit d'ouvrir le menu Chrome, allez à Aide et sélectionnez À propos de Google Chrome; le navigateur recherchera des mises à jour et demandera de redémarrer (Relancer) si elle s'applique. Vous pouvez également suivre les instructions officielles de Google pour mettre à jour Chrome ici: Mettre à jour Google Chrome. Mettre à jour dès que possible est la mesure la plus efficace pour réduire les risques.
Les utilisateurs d'autres navigateurs basés sur le chrome, tels que Microsoft Edge, Brave, Opera ou Vivaldi, devraient également rester vigilants: ces projets partagent une grande partie du code sous-jacent et il est donc courant que les corrections atteignent les autres implémentations avec peu de retard. Si vous utilisez l'un de ces navigateurs, vérifiez les notes de sécurité de votre fournisseur et appliquez les mises à jour dès qu'elles sont disponibles.
Au-delà du patch spot, il convient de se souvenir de certaines bonnes pratiques : garder le système d'exploitation et les extensions à jour, limiter les permissions des extensions inconnues et éviter d'ouvrir des liens suspects ou des fichiers de sources non vérifiées. La combinaison d'un navigateur mis à jour et d'une conduite prudente en navigation réduit considérablement la surface d'attaque.
En bref, cet avis de sécurité révèle une réalité déjà connue: les navigateurs restent l'une des portes d'entrée préférées pour les attaquants. Si vous utilisez Chrome ou tout navigateur basé sur Chrome, faites la mise à jour aujourd'hui et gardez l'habitude d'examiner régulièrement les mises à jour de sécurité.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...