Vulnérabilité Zero-Day de Chrome CVE-2026-2441 sous attaque : Correctif d’urgence publié

Google vient de publier un correctif pour une faille critique dans Chrome, la CVE-2026-2441, qui est activement exploitée. Cette vulnérabilité, classée 8.8 sur l’échelle CVSS, est une faille de type use-after-free dans le composant CSS du navigateur. Si tu utilises Chrome, il est urgent de mettre à jour vers la version 145.0.7632.75/76 pour Windows et Mac, et 144.0.7559.75 pour Linux.

Découverte par le chercheur en sécurité Shaheen Fazim, cette faille permet à un attaquant de prendre le contrôle d’un système en incitant la victime à visiter une page web malveillante. Google a reconnu que cette faille était déjà exploitée dans la nature, ce qui en fait la première de 2026 à être corrigée. Les utilisateurs sont donc encouragés à mettre à jour leur navigateur sans délai.

Les détails techniques de la faille

La vulnérabilité CVE-2026-2441 repose sur un problème de mémoire, où des objets CSS libérés sont encore accessibles. Cela crée une ouverture pour les hackers, qui peuvent exécuter du code arbitraire via une page HTML conçue à cet effet. Ce genre de faille est particulièrement dangereux car il permet d’agir à distance.

Le problème a été signalé le 11 février 2026 et corrigé seulement deux jours plus tard, ce qui montre la réactivité de Google face à une menace active. Toutefois, cette correction ne résout que le problème immédiat, et des travaux supplémentaires sont nécessaires pour prévenir d’autres failles similaires.

Shaheen Fazim, qui a déjà rapporté plusieurs vulnérabilités à Google, pourrait bien se voir attribuer une récompense pour cette découverte. Ses précédents rapports ont rapporté jusqu’à 8 000 $.

Conséquences pour les utilisateurs

Les utilisateurs de Chrome doivent impérativement mettre à jour leur navigateur pour se protéger. La mise à jour est déjà disponible pour les versions stables de Chrome sur Windows, Mac et Linux. Pour ceux qui préfèrent ne pas attendre, il est possible de forcer l’installation via les paramètres de Chrome.

Ce type de vulnérabilité est particulièrement prisé par les hackers car les navigateurs sont omniprésents et représentent une large surface d’attaque. Les entreprises sont invitées à automatiser les mises à jour via des politiques de groupe pour éviter les retards.

Cette faille met également en lumière les risques liés aux composants des navigateurs, souvent négligés mais critiques pour la sécurité globale des systèmes.

Comparaison avec d’autres cas récents

Ce n’est pas la première fois que Chrome est touché par une faille de ce genre. En 2025, Google a corrigé huit failles zero-day, dont certaines ont été exploitées à des fins malveillantes. Cela démontre la persistance des menaces et la nécessité d’une vigilance constante.

D’autres géants de la tech, comme Apple, ont également dû faire face à des vulnérabilités zero-day récemment. Leur faille CVE-2026-20700 a été exploitée pour exécuter du code sur des appareils iOS, prouvant que ces attaques ciblent souvent des utilisateurs précis.

Cette tendance souligne l’importance de maintenir les logiciels à jour et de surveiller constamment les menaces émergentes pour assurer la sécurité des données.