Google a lancé une mise à jour pour Chrome en mode d'urgence après avoir détecté qu'une vulnérabilité à haute gravité - enregistré comme CVE-2026-2441- était déjà activement exploité. La société l'a confirmé dans son avis officiel pour la branche stable du bureau, où elle avertit qu'il y a une explosion "dans la nature" et recommande aux utilisateurs d'installer le patch dès que possible pour réduire le risque. Vous pouvez lire la version originale sur le blog Chrome Releases: chromerease.googleblog.com.
Le problème technique qui sous-tend cette correction est une défaillance type de type "d'utilisation après libre" résultant de l'invalidation d'un itérateur dans la mise en œuvre des valeurs des caractéristiques typographiques dans CSS (CSSFontFeatureValuesMap). En termes simples, c'est une condition dans laquelle le navigateur continue d'essayer d'utiliser une partie de la mémoire qui a déjà été libérée, qui peut conduire à des défaillances graphiques étrangères et des comportements à la corruption de données ou l'exécution de code indésirable si un attaquant profite de la vulnérabilité.
Les détails théoriques de l'échec apparaissent dans l'historique de l'engagement du projet Chromium et le billet connexe qui continue de travailler sur la question. Le patch couvre le problème immédiat mais les développeurs pointent sur les tâches en attente dans le traqueur de bug de Chrome: crbug.com / 483936078. Ce dossier donne à penser que certaines corrections ont été appliquées à temps et que des travaux supplémentaires pourraient être laissés pour traiter des effets secondaires possibles ou des conditions connexes.
Un signe de la gravité perçue par Google est que la correction a été "cherry-picked" - c'est-à-dire, la couverture arrière - à la version stable plutôt que d'attendre la prochaine version majeure. Cette pratique est utilisée lorsqu'une erreur représente un risque réel et devrait être réalisée dès que possible pour la plupart des utilisateurs.
Les versions qui reçoivent la mise à jour sur la branche de bureau stable sont les suivantes: Windows et macOS avec versions 145.0.7632.75 / 76 et Linux avec 14.0.7559.75. Si vous voulez vérifier et appliquer la mise à jour manuellement, ouvrir Chrome, aller à "Aide" > "Google Chrome Information" et laisser le navigateur télécharger et installer la nouvelle version; Google explique le processus sur sa page de support: support.google.com. Si vous préférez la piste automatique, Chrome installe généralement des mises à jour lors du redémarrage du navigateur.
Google n'a pas encore fourni de détails précis sur qui ou comment cette vulnérabilité a été exploitée dans la pratique; l'entreprise limite souvent la divulgation d'informations techniques jusqu'à ce que la plupart des utilisateurs reçoivent la correction, afin d'empêcher les acteurs malveillants de réutiliser les détails pour des campagnes supplémentaires. Cette politique s'applique également lorsque l'échec se trouve dans une bibliothèque tierce et que d'autres projets n'ont pas encore publié leurs propres solutions.
Ce patch est remarquable parce que, bien que, au cours de l'année écoulée, Google a corrigé plusieurs vulnérabilités zéro jour utilisés dans les attaques réelles (beaucoup détectés par son groupe d'analyse de la menace), jusqu'à 2026 il n'y avait eu aucune correction active de fonctionnement dans Chrome. Si vous voulez en savoir plus sur le travail effectué par l'équipe d'analyse de la menace de Google, votre blog est une bonne référence: blog.google / amenat-analyse-groupe.
Que devriez-vous faire maintenant ? La chose la plus pratique et efficace est de mettre à jour Chrome dès que possible et de s'assurer que les mises à jour automatiques sont actives. Si pour une raison quelconque vous ne pouvez pas mettre à jour immédiatement, évitez d'ouvrir des liens ou de télécharger du contenu d'origine douteuse et, dans les environnements d'entreprise, coordonnez avec votre équipe informatique pour déployer le patch de manière centralisée. D'autres navigateurs à base de chrome devraient également être tenus à jour, car certains projets partagent des composants et peuvent avoir besoin de leurs propres correctifs.
Bref, c'est un rappel supplémentaire que les navigateurs restent une cible privilégiée pour les attaquants : ils sont la passerelle vers nos comptes, mots de passe et données personnelles. Mettre à jour maintenant est la meilleure défense et la combinaison de correctifs rapides, de surveillance des sources officielles et de pratiques de base de sécurité de la navigation réduit considérablement le risque.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...