Google vient de colmater en urgence une faille zero-day dans Chrome. Activement exploitée par des pirates, la vulnérabilité permet aux hackers de prendre le contrôle de votre navigateur simplement en vous attirant sur un site piégé.
Google vient d’identifier une nouvelle faille de sécurité dans le fonctionnement de Chrome. La vulnérabilité est considérée comme critique par les équipes de Google, car elle est facilement exploitable et risque de compromettre tout le navigateur. C’est pourquoi Google a décidé de réagir dans l’urgence en prenant des mesures rapides et exceptionnelles.
La première faille zero day de 2026
Comme l’explique Google, la vulnérabilité a été activement exploitée dans le cadre de cyberattaques. Il s’agit donc d’une faille zero day, à savoir une faille qui est exploitée par des pirates avant que Google ne puisse proposer un correctif pour protéger ses utilisateurs. C’est la première faille zero day de Chrome identifiée en 2026. Pour rappel, le géant de Mountain View a débusqué et colmaté 8 failles zero-day en 2025, toutes activement exploitées dans des attaques ciblées.
Découverte initialement par un chercheur en cybersécurité externe, la vulnérabilité se situe dans CSSFontFeatureValuesMap, un composant interne du moteur de rendu Chromium qui gère les fonctionnalités avancées de typographie web. La faille est décrite comme un bug d’invalidation d’itérateur. Concrètement, le programme continue à utiliser un pointeur (l’itérateur) vers cette zone mémoire après qu’elle a été supprimée ou réorganisée. Cette faille de type « use-after-free » permet aux pirates de manipuler la mémoire du navigateur de façon imprévisible. La brèche permet de provoquer des plantages, des affichages corrompus ou d’autres comportements imprévisibles du navigateur.
Pour exploiter la faille, il suffit d’attirer l’internaute sur un site web piégé contenant du code CSS malveillant. Des attaques reposant sur des sites piégés ont eu lieu. Conformément à sa politique, Google n’a pas partagé de détails supplémentaires concernant ces cyberattaques.
« Les détails techniques de la vulnérabilité et les liens vers le rapport de bug resteront confidentiels tant que la majorité des utilisateurs n’auront pas installé la mise à jour de sécurité. Ces restrictions seront également maintenues si la faille affecte une bibliothèque tierce utilisée par d’autres projets qui n’ont pas encore publié de correctif », explique Google dans son avis de sécurité.
Google déploie un correctif, installez vite la mise à jour
Pour colmater la brèche, Google a déployé une mise à jour d’urgence sur Chrome. L’entreprise a inclus un correctif dans les nouvelles versions de Chrome sur Windows et macOS (145.0.7632.75/76) et Linux (144.0.7559.75). Le déploiement complet est prévu sur plusieurs jours ou semaines.
Notez que Google a appliqué un correctif d’urgence qui règle le danger immédiat, mais le travail de sécurisation n’est pas totalement terminé. L’équipe Chrome reconnaît qu’il reste des tâches à accomplir pour colmater complètement la faille. En clair, Google a appliqué un pansement d’urgence efficace pour arrêter l’hémorragie, et bloquer les attaques, tout en se préparant à une intervention plus complète dans un avenir proche.
Google déploie progressivement le correctif dans les prochains jours. Dès l’apparition de la mise à jour sur Chrome, installez-la immédiatement. Ouvrez le menu À propos de Google Chrome, puis cliquez sur Relancer pour finaliser l’opération. Pensez également à activer les mises à jour automatiques pour garantir une protection permanente contre d’éventuelles cyberattaques.
Source : 01net
