Publié le 11 décembre 2025 à 23h32. Google a déployé une mise à jour de sécurité d’urgence pour son navigateur Chrome afin de corriger une vulnérabilité critique activement exploitée par des attaquants. Cet incident souligne la valeur croissante des failles de sécurité dites « zero-day » pour les groupes d’espionnage et les cybercriminels.
- Une vulnérabilité de haute gravité, référencée en interne sous le nom de « Bug Chrome 466192044 », affecte le moteur de rendu graphique ANGLE utilisé par Chrome et d’autres navigateurs Chromium.
- La faille est due à un dimensionnement incorrect du tampon dans le backend Metal, une couche graphique utilisée sur les plateformes Apple, et pourrait permettre une corruption de la mémoire et l’exécution de code à distance.
- Google a choisi de limiter la divulgation des détails techniques afin de réduire les risques d’attaques par copie, une pratique courante dans l’industrie.
La vulnérabilité récemment corrigée porte à huit le nombre de failles de sécurité de la mémoire affectant Chrome cette année, illustrant une tendance à la hausse des attaques ciblant les navigateurs web. Les experts soulignent que les couches graphiques, comme ANGLE, deviennent des cibles privilégiées en raison de leur complexité et de leur interaction directe avec le matériel.
Selon Google, une exploitation active de cette vulnérabilité a été détectée, mais l’entreprise n’a pas divulgué d’informations sur l’acteur de la menace, le vecteur d’attaque ou l’étendue de la campagne. Cette approche prudente vise à donner le temps aux utilisateurs de mettre à jour leur navigateur avant que les détails de la faille ne soient largement diffusés et exploités par d’autres acteurs malveillants.
Les chercheurs en sécurité estiment que la faille pourrait permettre aux attaquants de manipuler les opérations de mémoire dans le pipeline de rendu de Chrome, contournant ainsi les mécanismes de sécurité intégrés.
« Tout débordement dans un sous-système graphique, en particulier celui qui s’interface si étroitement avec le GPU, peut être extrêmement puissant. »
Chercheur en sécurité, anonyme
Outre la vulnérabilité ANGLE, la dernière mise à jour de sécurité de Google corrige également deux autres problèmes de gravité moyenne : une vulnérabilité d’utilisation après libération dans le gestionnaire de mots de passe (CVE-2025-14372) et une implémentation inappropriée dans la barre d’outils (CVE-2025-14373). Bien qu’aucun de ces problèmes ne soit actuellement exploité, ils représentent des points d’attention pour les chercheurs et les attaquants.
Google exhorte les utilisateurs à mettre à jour Chrome vers la version 143.0.7499.109/.110 sous Windows et macOS, et la version 143.0.7499.109 sous Linux. La mise à jour peut être lancée manuellement via le menu Chrome (Aide → À propos de Google Chrome → Relancer).
Étant donné qu’ANGLE est un composant essentiel de l’écosystème Chromium, d’autres navigateurs basés sur ce moteur, tels que Microsoft Edge, Brave, Vivaldi et Opera, devront également fournir leurs propres correctifs. Les experts en sécurité insistent sur l’importance d’une mise à jour rapide, car les vulnérabilités zero-day sont rapidement exploitées par plusieurs acteurs malveillants.
La multiplication des failles zero-day dans Chrome alimente le débat sur la nécessité de réécrire les composants fondamentaux des navigateurs dans des langages sécurisés en mémoire, tels que Rust ou Swift. Bien que Google ait commencé à adopter cette approche pour certains sous-systèmes, une réécriture complète de Chromium représente un défi majeur en raison de sa complexité et de son impact sur les performances.
La lutte contre les vulnérabilités zero-day dans les navigateurs web est un processus continu qui nécessite une vigilance constante et une collaboration étroite entre les fournisseurs de logiciels, les chercheurs en sécurité et les utilisateurs. La mise à jour régulière des navigateurs et l’adoption de bonnes pratiques de sécurité restent les meilleures défenses contre les menaces en ligne.
Si vous avez utilisé Web Check pour détecter les vulnérabilités de votre site Web, vous aurez bientôt besoin d’une nouvelle façon de les maîtriser.
Alors, comment conserver la visibilité sans ajouter de complexité ? Intruder vous offre une couverture plus large, une analyse proactive lorsque de nouvelles menaces apparaissent et des conseils clairs sur les mesures à prendre en premier.
🔥 Si vous recherchez un changement fluide lorsque Web Check se termine, essayez Intruder GRATUITEMENT.
À lire aussi
