Patch d’urgence pour Chrome : Google colmate des zero-day exploitées activement

Des failles zero-day dans Google Chrome sont exploitées « dans la nature » pour déclencher l’exécution de code malveillant à distance. Google a confirmé au moins un cas récent, CVE-2026-2441, et a diffusé des correctifs d’urgence sur Windows, macOS et Linux. Le scénario est classique, mais redoutable, une simple visite sur une page piégée peut suffire.

Le point qui doit te faire réagir, c’est la vitesse. En 2025, plusieurs vulnérabilités activement exploitées ont été documentées dans Chrome, avec une fenêtre d’attaque qui se réduit. Les attaquants misent sur des « drive-by », de la pub piégée, des sites compromis, et la mécanique du navigateur, CSS, JavaScript, GPU, pour obtenir un premier pied dans le bac à sable, puis tenter d’aller plus loin.

CVE-2026-2441 vise le moteur CSS via des pages piégées

La faille CVE-2026-2441 touche le traitement CSS de Chrome et Google a indiqué qu’elle était activement exploitée. Le vecteur décrit repose sur des pages web spécialement construites, HTML et CSS, capables de déclencher l’anomalie quand tu les charges. Dans le cas le plus direct, l’attaquant obtient l’exécution de code arbitraire dans le contexte du navigateur, à l’intérieur du bac à sable.

Concrètement, la chaîne d’attaque ressemble à ce que les équipes de réponse à incident voient tous les jours, un site légitime est compromis pour injecter du code d’exploitation, ou un domaine malveillant héberge une page « appât ». La victime arrive via hameçonnage, publicité malveillante, ou simple manipulation sociale, et le navigateur fait le reste. C’est ce côté « un clic, parfois zéro réflexion » qui rend ces failles si efficaces.

Nuance importante, le bac à sable limite souvent l’impact initial, mais il ne « règle » pas le problème. Les attaquants cherchent fréquemment à enchaîner avec d’autres bugs pour une évasion du bac à sable, de l’exfiltration, ou un mouvement latéral. Autrement dit, même si la première étape semble contenue, elle peut servir de tremplin. La réponse attendue reste la même, appliquer le correctif dès sa disponibilité, sans attendre.

En 2025, six zero-day Chrome ont été documentées, dont CVE-2025-10585

L’année 2025 a été marquée par une série de failles exploitées, avec six incidents publiquement documentés où des zero-day Chrome ont été activement utilisées. Parmi elles, CVE-2025-10585 est décrite comme une vulnérabilité de type confusion dans le moteur V8 et WebAssembly, permettant d’exécuter du code malveillant via du JavaScript conçu pour déclencher le défaut.

Le schéma est proche de CVE-2026-2441 dans l’expérience utilisateur, tu visites une page compromise, un script « fait maison » s’exécute, et l’attaquant tente de corrompre la mémoire pour prendre le contrôle du flux d’exécution. Ce qui change, c’est la surface technique, ici le moteur JavaScript et WebAssembly, souvent au cur des performances du navigateur, donc très exposé, très complexe, et régulièrement ciblé.

Ce rythme pose un problème opérationnel pour les organisations, la fenêtre entre divulgation, correctif et exploitation se réduit. Les attaquants industrialisent la mise en arme, pendant que les équipes IT doivent tester, déployer, gérer les exceptions. Et soyons clairs, compter sur « on est déjà derrière un proxy » ou « nos postes sont durcis » ne suffit pas, un navigateur non à jour reste une porte d’entrée, même dans des environnements bien gérés.

CVE-2025-6558 et CVE-2025-5419 montrent la diversité des surfaces d’attaque

Google a aussi corrigé CVE-2025-6558, une faille exploitée activement liée à la validation d’entrées non fiables dans ANGLE et des composants GPU. L’exploitation peut mener à une compromission du navigateur, avec un risque de sortie du bac à sable selon les chaînes utilisées. Les versions antérieures à 138.0.7204.157/.158 sur Windows et macOS, et 138.0.7204.157 sur Linux, ont été citées comme concernées.

Dans la même vague de correctifs, deux autres failles à sévérité élevée ont été mentionnées, CVE-2025-7656 (débordement d’entier dans V8) et CVE-2025-7657 (use-after-free dans WebRTC). Ça illustre un point souvent sous-estimé, l’attaque ne passe pas uniquement par « le JavaScript ». Les flux médias, l’accélération graphique, la pile WebRTC, tout ça multiplie les angles d’approche pour déclencher corruption mémoire ou exécution de code.

Autre cas marquant, CVE-2025-5419 a été classée à 8,8 (CVSS) et décrite comme un out-of-bounds read/write dans V8 et WebAssembly, corrigée via un patch hors cycle. Google a reconnu l’existence d’un exploit dans la nature, tout en limitant les détails, pratique courante pour éviter d’alimenter une ruée d’imitateurs. Si tu utilises Edge, Brave, Opera ou Vivaldi, même combat, ces navigateurs basés sur Chromium dépendent des mêmes correctifs, avec parfois un léger décalage de diffusion.