Home Technologie et scienceGoogle publie un correctif d’urgence pour Chrome alors qu’une faille mystérieuse de haute gravité est activement exploitée

Google publie un correctif d’urgence pour Chrome alors qu’une faille mystérieuse de haute gravité est activement exploitée

by Thomas Caron

Publié le 11 décembre 2025 à 23h32. Google a déployé une mise à jour de sécurité d’urgence pour son navigateur Chrome afin de corriger une vulnérabilité critique activement exploitée par des attaquants. Cet incident souligne la valeur croissante des failles de sécurité dites « zero-day » pour les groupes d’espionnage et les cybercriminels.

  • Une vulnérabilité de haute gravité, référencée en interne sous le nom de « Bug Chrome 466192044 », affecte le moteur de rendu graphique ANGLE utilisé par Chrome et d’autres navigateurs Chromium.
  • La faille est due à un dimensionnement incorrect du tampon dans le backend Metal, une couche graphique utilisée sur les plateformes Apple, et pourrait permettre une corruption de la mémoire et l’exécution de code à distance.
  • Google a choisi de limiter la divulgation des détails techniques afin de réduire les risques d’attaques par copie, une pratique courante dans l’industrie.

La vulnérabilité récemment corrigée porte à huit le nombre de failles de sécurité de la mémoire affectant Chrome cette année, illustrant une tendance à la hausse des attaques ciblant les navigateurs web. Les experts soulignent que les couches graphiques, comme ANGLE, deviennent des cibles privilégiées en raison de leur complexité et de leur interaction directe avec le matériel.

Selon Google, une exploitation active de cette vulnérabilité a été détectée, mais l’entreprise n’a pas divulgué d’informations sur l’acteur de la menace, le vecteur d’attaque ou l’étendue de la campagne. Cette approche prudente vise à donner le temps aux utilisateurs de mettre à jour leur navigateur avant que les détails de la faille ne soient largement diffusés et exploités par d’autres acteurs malveillants.

Les chercheurs en sécurité estiment que la faille pourrait permettre aux attaquants de manipuler les opérations de mémoire dans le pipeline de rendu de Chrome, contournant ainsi les mécanismes de sécurité intégrés.

« Tout débordement dans un sous-système graphique, en particulier celui qui s’interface si étroitement avec le GPU, peut être extrêmement puissant. »

Chercheur en sécurité, anonyme

Outre la vulnérabilité ANGLE, la dernière mise à jour de sécurité de Google corrige également deux autres problèmes de gravité moyenne : une vulnérabilité d’utilisation après libération dans le gestionnaire de mots de passe (CVE-2025-14372) et une implémentation inappropriée dans la barre d’outils (CVE-2025-14373). Bien qu’aucun de ces problèmes ne soit actuellement exploité, ils représentent des points d’attention pour les chercheurs et les attaquants.

Google exhorte les utilisateurs à mettre à jour Chrome vers la version 143.0.7499.109/.110 sous Windows et macOS, et la version 143.0.7499.109 sous Linux. La mise à jour peut être lancée manuellement via le menu Chrome (Aide → À propos de Google Chrome → Relancer).

Étant donné qu’ANGLE est un composant essentiel de l’écosystème Chromium, d’autres navigateurs basés sur ce moteur, tels que Microsoft Edge, Brave, Vivaldi et Opera, devront également fournir leurs propres correctifs. Les experts en sécurité insistent sur l’importance d’une mise à jour rapide, car les vulnérabilités zero-day sont rapidement exploitées par plusieurs acteurs malveillants.

La multiplication des failles zero-day dans Chrome alimente le débat sur la nécessité de réécrire les composants fondamentaux des navigateurs dans des langages sécurisés en mémoire, tels que Rust ou Swift. Bien que Google ait commencé à adopter cette approche pour certains sous-systèmes, une réécriture complète de Chromium représente un défi majeur en raison de sa complexité et de son impact sur les performances.

La lutte contre les vulnérabilités zero-day dans les navigateurs web est un processus continu qui nécessite une vigilance constante et une collaboration étroite entre les fournisseurs de logiciels, les chercheurs en sécurité et les utilisateurs. La mise à jour régulière des navigateurs et l’adoption de bonnes pratiques de sécurité restent les meilleures défenses contre les menaces en ligne.

Contenu de l'article
Cliquez sur le lien ci-dessous pour un service alternatif GRATUIT !

Si vous avez utilisé Web Check pour détecter les vulnérabilités de votre site Web, vous aurez bientôt besoin d’une nouvelle façon de les maîtriser.

Alors, comment conserver la visibilité sans ajouter de complexité ? Intruder vous offre une couverture plus large, une analyse proactive lorsque de nouvelles menaces apparaissent et des conseils clairs sur les mesures à prendre en premier.

🔥 Si vous recherchez un changement fluide lorsque Web Check se termine, essayez Intruder GRATUITEMENT.

Contenu de l'article
Téléchargez la boîte à outils ultime d’auto-évaluation de la conformité NICS2

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.