Google publie une mise à jour de sécurité pour son navigateur Chrome. Elle intervient en urgence, juste après l’arrivée de la mouture 145 de Google Chrome. Le but est de combler une vulnérabilité pour laquelle il existe un exploit dans la nature. Il s’agit de la première faille zero-day affectant Chrome pour cette année 2026.
Quelle est la nature de la vulnérabilité zero-day ?
Référencée CVE-2026-2441, la vulnérabilité est un bug de sécurité de type use-after-free dans CSS, et plus précisément CSSFontFeatureValuesMap qui gère l’affichage des polices de caractères sur les pages web.
Découverte par le chercheur en sécurité Shaheen Fazim, la vulnérabilité peut être déclenchée à distance par une simple page HTML spécialement conçue par un attaquant.
Une exploitation réussie permettrait à un attaquant d’exécuter du code arbitraire à l’intérieur de la sandbox du navigateur. Ce type d’action peut entraîner des plantages de Chrome, une corruption de données ou d’autres comportements imprévisibles, et ouvrir la porte à des attaques plus complexes et dangereuses.
Peu de détails sur l’exploitation active
Comme la vulnérabilité ne permet pas elle-même un contournement de sandbox, elle n’est pas jugée critique selon l’échelle de dangerosité de Google. Néanmoins, l’action correctrice n’est pas à retarder, sachant que la faille peut faire partie d’une chaîne d’exploitation.
De manière habituelle, Google a choisi de restreindre la diffusion des détails techniques au sujet de la vulnérabilité CVE-2026-2441 pour ne pas favoriser l’apparition d’autres exploits. L’urgence est d’abord au déploiement du patch à grande échelle.
» Nous maintiendrons également des restrictions si le bug existe dans une bibliothèque tierce dont dépendent d’autres projets, mais qui n’a pas encore été corrigée. «
Une correction rapide après signalement
La vulnérabilité zero-day a été signalée à Google le 11 février, et le déploiement du patch a commencé deux jours plus tard.
Au minimum, les versions protégées de Google Chrome sont 145.0.7632.75/76 pour Windows et macOS, et 144.0.7559.75 pour Linux. À vérifier dans Paramètres ou Aide, puis » À propos de Chrome « . Le cas échéant, cette action permettra la recherche et l’installation de la dernière version disponible.
L’alerte ne vaut pas que pour Google Chrome. D’autres navigateurs basés sur Chromium peuvent nécessiter une mise à jour.