Google a déployé une mise à jour d'urgence pour Chrome qui corrige deux vulnérabilités à haute gravité qui sont déjà exploités dans l'état de zéro jour. Dans son avis officiel, la société reconnaît qu'il y a des preuves d'exploitation active des deux échecs et a publié des correctifs pour des versions de bureau stables sur Windows, macOS et Linux.
L'un des défauts vient d'une écriture hors limites en Skia la bibliothèque open source responsable du rendu 2D dans plusieurs projets, y compris le chrome. Ce type d'erreur - connu sous le nom de hors-de-bounds write - peut faire bloquer le navigateur ou, au pire, permettre l'exécution arbitraire de code si un attaquant parvient à manipuler la mémoire affectée. Skia est un composant essentiel de la chaîne de rendu, de sorte que tout défaut dans votre gestion des objets graphiques peut avoir de graves implications pour la sécurité du navigateur. Plus d'informations sur la nature technique de ce type de faiblesse sont disponibles dans la description CWE pertinente dans MOYEN et sur la page du projet Skia skia.org.
L'autre vulnérabilité affecte le moteur V8, responsable de l'exécution de JavaScript et WebAssembly. Google le décrit comme un problème d'implémentation inadéquat dans V8 qui pourrait être exploité pour compromettre la sécurité de l'exécution de code dans le navigateur. V8 est la pièce qui interprète et optimise le code web que la plupart des pages et applications modernes utilisent; par conséquent, les erreurs dans sa logique peuvent ouvrir des portes très précieuses pour les attaquants persistants. Le projet V8 maintient la documentation et les ressources v8.dev.
Google n'a pas publié de détails techniques détaillés sur des incidents d'exploitation spécifiques, au motif qu'il limite l'accès à des informations sensibles jusqu'à ce que la plupart des utilisateurs aient reçu le patch ou lorsque des bibliothèques tierces partageant la même vulnérabilité ont également été corrigées. Cette pratique vise à empêcher plus d'agresseurs de créer des exploits avant que l'équipement et les utilisateurs ne soient mis à jour.
Les versions avec le patch déjà publié pour le canal stable sont 146.0.7680.75 sur Windows, 146.0.7680.76 sur macOS et 146.0.7680.75 sur Linux. Google a distribué d'urgence la mise à jour et, bien qu'il avertisse que le déploiement complet peut prendre des jours ou des semaines pour atteindre tous les utilisateurs, certaines analyses et vérifications - telles que celles effectuées par des moyens spécialisés - ont détecté le patch disponible immédiatement sur plusieurs équipes.
Si vous utilisez Chrome, la chose la plus pratique et sécurisée est de mettre à jour dès que possible et redémarrer le navigateur. Vous pouvez forcer une vérification de mise à jour à partir du menu Chrome ou laisser vos propres paramètres de mise à jour automatique faire le travail et installer le patch dans le prochain navigateur démarrer. La mise à jour automatique activée réduit le temps qu'un navigateur vulnérable reste exposé.
Il est important de se rappeler que de nombreux navigateurs à base de chrome partagent des composants tels que Skia et V8. Cela signifie que, lorsqu'un échec est découvert dans ces éléments, d'autres implémentations qui les intègrent peuvent également être affectées et devront publier leurs propres correctifs. C'est pourquoi il faut prêter attention aux mises à jour des navigateurs alternatifs et aux avertissements de sécurité de leurs développeurs.
Cette paire de corrections est ajoutée à d'autres "zéro-jours" arrangés par Google dans la mesure où l'année va. Au début du mois de février, une autre vulnérabilité activement exploitée liée à la mise en œuvre des valeurs des caractéristiques typographiques dans la CSS avait déjà été corrigée. En 2025, la société a fermé huit défaillances de zéro jour exploitées dans des environnements réels, dont beaucoup ont été rapportées par son groupe d'analyse des menaces (TAG), l'équipe interne qui suit et analyse les menaces sophistiquées. Pour vérifier l'avis de Google sur les mises à jour Chrome, vous pouvez voir la version officielle sur le Chrome communiqué blog à chromerease.googleblog.com.
L'écosystème de la recherche des erreurs reste également actif: Google a récemment signalé des millions de paiements aux chercheurs qui ont signalé des vulnérabilités grâce à son programme de récompense. Si vous êtes intéressé par la façon dont les initiatives de rebond de bug fonctionnent et où signaler les bugs, la page officielle du programme est sur bughunters.google.com.
Que peuvent faire les utilisateurs en plus de la mise à jour? Maintenir le système d'exploitation et les applications à jour réduit la surface d'attaque; éviter d'ouvrir des liens ou des fichiers inconnus et ne pas permettre des installations source non vérifiées réduit le risque de tomber dans des techniques d'exploitation qui commencent à l'extérieur du navigateur. Pour les environnements d'entreprise, des mesures telles que l'application centralisée des correctifs, l'utilisation d'outils de gestion des paramètres et la segmentation du réseau peuvent contenir des intrusions. Médias et sécurité Calculateur Ils couvrent souvent ce type d'alerte rapidement et peuvent être utilisés pour surveiller l'évolution de l'incident.
Bref, il s'agit de deux échecs graves et activement exploités qui ont reçu une correction urgente. La principale recommandation est de mettre à jour Chrome dès que possible et de garder les mises à jour automatiques actives, parce que dans la sécurité plusieurs fois la différence entre être exposé ou protégé est simplement accepter et installer un patch à l'heure.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...