Une faille zero day exploitée dans Chrome à corriger d'urgence

La vulnérabilité du moteur JavaScript Chrome V8 est considérée comme très grave et a été découverte par le groupe d'analyse des menaces de Google. Elle est actuellement exploitée par des pirates et nécessite une mise à jour dès que possible.

L'équipe de Google Chrome a publié une mise à jour pour corriger une vulnérabilité très grave qui est activement exploitée dans la nature. Le problème a également été atténué par une modification de configuration diffusée jeudi dernier aux utilisateurs de la version stable de Chrome, qui n'a pas nécessité de mise à jour du navigateur. Les exploits de Google Chrome sont des produits de grande valeur sur les marchés noir et gris, dont les prix atteignent des centaines de milliers de dollars. Cela s'explique par le fait qu'il est l'un des navigateurs les plus robustes et qu'il utilise des bacs à sable pour ajouter des obstacles supplémentaires aux attaquants. Pour contourner toutes ces défenses et parvenir à exécuter un code à distance sur un système via Chrome, il faut généralement enchaîner plusieurs failles.

Cette CVE-2025-5419, corrigé lundi dans Chrome 137.0.7151.68/.69 pour Windows et Mac et 137.0.7151.68 pour Linux, est la troisième faille de type zero day corrigée dans Chrome cette année. Les deux autres, CVE-2025-2783 et CVE-2025-4664, ont été corrigées respectivement en mars et en mai. Cela montre que les pirates ont tout intérêt à compromettre les utilisateurs de Chrome, malgré la difficulté. Ce dernier trou de sécurité a été signalé à l'équipe Chrome par des membres du Threat Analysis Group de Google, qui est principalement chargé de défendre l'infrastructure et les utilisateurs de Google contre les attaques bénéficiant de soutiens de niveau étatique. Cela suggère que ce problème a probablement été découvert dans la nature, bien que les détails n'aient pas encore été divulgués. La vulnérabilité est classée comme étant de gravité élevée, ce qui signifie qu'elle ne peut pas conduire à une exécution de code à distance sur le système d'exploitation sous-jacent et qu'elle doit probablement être combinée à une autre faille pour y parvenir.

Une exploitation possible en surfant simplement sur des sites

L'équipe de Chrome a décrit cette faille comme un problème de lecture/écriture de mémoire hors bande dans V8, qui est le moteur JavaScript et WebAssembly de Chrome. Ce moteur open source est également utilisé dans d'autres projets, notamment le moteur d'exécution Node.js et est conçu pour interpréter et exécuter du code JavaScript et WebAssembly. A noter que cette faille peut probablement être déclenchée à distance par des utilisateurs visitant simplement des pages web qui chargent du code malicieusement conçu. « L'accès aux détails des bogues et aux liens peut être restreint jusqu'à ce qu'une majorité d'utilisateurs soit mise à jour avec un correctif », a indiqué Google dans son bulletin. « Nous maintiendrons également des restrictions si le bogue existe dans une bibliothèque tierce dont dépendent d'autres projets, mais qui n'a pas encore été corrigée. »

Outre la CVE-2025-5419, la dernière mise à jour de Chrome corrige également un bogue de mémoire de gravité moyenne de type « use-after-free » dans Blink, le moteur de rendu du navigateur. Celui-ci a été signalé en privé par un chercheur qui a reçu une prime de 1 000 $. Le navigateur Chrome dispose d'un mécanisme de mise à jour automatique, mais les utilisateurs qui ne l'ont pas encore reçue et qui souhaitent déclencher la mise à jour manuellement peuvent accéder au menu Aide > À propos de Google Chrome pour déclencher une vérification de la mise à jour.