Google a déployé une mise à jour d’urgence de Chrome pour corriger deux vulnérabilités identifiées sous les références CVE-2026-3909 et CVE-2026-3910. Dans un avis de sécurité publié cette semaine, l’entreprise confirme que des exploits existent déjà « dans la nature », ce qui signifie que ces failles sont utilisées dans de vraies attaques.
Deux failles sérieuses dans des composants clés
La première concerne Skia, une bibliothèque graphique open source qui sert à afficher les pages web et certains éléments de l’interface du navigateur. Le problème est une écriture hors limites en mémoire, un type de bug qui peut provoquer un plantage de l’application. Dans certains cas, il peut aussi permettre à un attaquant d’exécuter du code sur la machine de la victime.
La seconde faille touche V8, le moteur JavaScript et WebAssembly de Chrome. C’est lui qui interprète et exécute les scripts présents sur les pages web. Un défaut dans ce composant peut donc être exploité simplement en attirant un utilisateur sur un site piégé. Les correctifs sont intégrés dans Chrome 146.0.7680.75 pour Windows et Linux et 146.0.7680.76 pour macOS. Google indique avoir corrigé les deux vulnérabilités moins de deux jours après leur signalement, ce qui est plutôt rapide pour ce type de problème.
Comme souvent lorsqu’il s’agit de failles activement exploitées, Google ne donne que peu d’informations sur les attaques en question. L’entreprise n’indique ni qui pourrait être derrière ces exploits, ni comment ils sont utilisés.
Cette discrétion est volontaire. « L’accès aux informations sur le bug et aux liens associés peut être restreint jusqu’à ce que la majorité des utilisateurs ait installé la mise à jour », explique la société dans son avis de sécurité. L’idée est d’éviter de publier trop tôt des détails techniques qui pourraient servir de mode d’emploi à d’autres attaquants.
La mise à jour est déjà disponible, mais son déploiement se fait progressivement. Elle peut donc mettre quelques jours, voire quelques semaines, avant d’arriver automatiquement sur tous les ordinateurs. Les utilisateurs les plus pressés peuvent cependant vérifier manuellement : il suffit d’ouvrir les paramètres de Chrome, de lancer une recherche de mise à jour puis de redémarrer le navigateur pour appliquer le correctif.
Ces deux nouvelles vulnérabilités ne sont pas un cas isolé. Depuis le début de l’année, Google a déjà corrigé trois failles zero-day exploitées activement dans Chrome. L’an dernier, le navigateur avait déjà été la cible de huit zero-day utilisés dans des attaques réelles. Plusieurs d’entre eux avaient été identifiés par le Threat Analysis Group (TAG), une équipe interne de Google chargée d’analyser les menaces informatiques sophistiquées, notamment celles liées aux logiciels espions.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
