Les utilisateurs de Google Chrome qui souhaitent rester en sécurité ont tout intérêt à mettre à jour leur navigateur avec la dernière version. En effet, cette dernière contient un correctif pour une vulnérabilité critique qui pourrait entraîner un plantage de Chrome, voire infecter votre système ou votre appareil avec des logiciels malveillants.
Mercredi dernier, Google a publié la version 134.0.6998.117/.118 de Chrome pour Windows et Mac et 134.0.6998.117 pour Linux. Déployée au cours des prochains jours et des prochaines semaines, cette version propose plusieurs correctifs de sécurité. Mais le correctif pour la vulnérabilité critique est le plus important.
Comme décrit dans la base de données des vulnérabilités du NIST, la CVE-2025-2476 se rapporte à « Use after free in Lens in Google Chrome prior to 134.0.6998.117 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. » (Utilisation d’un élément libre dans Lens dans Google Chrome avant la version 134.0.6998.117 permettait à un attaquant distant d’exploiter une corruption du tas via une page HTML conçue). Qu’est-ce que cela signifie en termes simples ? Décortiquons-le.
Google Lens en cause
« L’utilisation après libération est un type de corruption de la mémoire dans lequel un programme continue d’utiliser un bloc de mémoire même après qu’il a été libéré. Lens dans Google Chrome fait référence à l’outil Google Lens qui permet de rechercher et d’identifier des objets repérés à l’aide de l’appareil photo de votre téléphone.
La « corruption du tas » (heap corruption) signifie que quelqu’un pourrait exploiter les données stockées dans le bloc de mémoire. Enfin, « une page HTML conçue » – dans ce cas précis – est une page web conçue sur mesure à des fins malveillantes.
Mettez-les ensemble et vous verrez que toute version antérieure de Chrome est susceptible de contenir des pages web créées par des attaquants qui profiteraient de la mémoire corrompue pour infecter votre PC avec des logiciels malveillants.
Voici comment visualiser ce type de faille
« Imaginez que vous êtes dans un parc d’attractions et que vous avez un bracelet qui vous permet d’accéder à un manège spécial », explique Saeed Abbasi, de Qualys, à ZDNET. « Après votre tour, vous partez. Mais plus tard, vous revenez en douce et vous montrez le même vieux bracelet – maintenant expiré – pour essayer de monter à nouveau dans le manège. Le problème ? L’attraction est désormais accessible à une autre personne munie d’un nouveau bracelet ».
Dans Chrome, ce bogue d' »utilisation après libération » revient à utiliser une partie de la mémoire après qu’elle a été remise dans le système, ce qui crée un dysfonctionnement général », poursuit M. Abbasi. Cette astuce perturbe la mémoire de Chrome, le « tas » (la réserve de mémoire de Chrome) est brouillé, ce qui entraîne un chaos imprévisible. En bref, CVE-2025-2476 est une faille de mémoire où les attaquants utilisent une page web louche pour se faufiler à travers les défenses de Chrome, prenant potentiellement le contrôle de votre navigateur ».
M. Abbasi a expliqué que la simple visite d’une page web malveillante peut déclencher l’exploit. Étant donné que le bogue est considéré comme critique, les attaquants pourraient voler vos mots de passe, vos numéros de carte de crédit et d’autres données sensibles stockées dans Chrome. Ils pourraient même installer des logiciels malveillants, des rançongiciels ou des logiciels espions à votre insu, vous empêchant ainsi de remarquer une menace tant qu’elle n’a pas accompli son travail.
Une découverte d’un chercheur externe
Les failles de ce type sont parfois découvertes par des chercheurs en sécurité externes. Dans le cas présent, Google a remercié SungKwon Lee, PDG de l’entreprise coréenne de cybersécurité Enki Whitehat, qui a signalé le bogue le 5 mars.
D’autres vulnérabilités sont découvertes en interne par les employés de Google. Google a déclaré que la dernière mise à jour de Chrome comprend divers correctifs issus d’audits internes, de fuzzing (tests visant à découvrir des bogues) et d’autres initiatives.
De nombreuses vulnérabilités sont découvertes à l’aide d’outils tels que AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer et AFL.
Comment obtenir la dernière version de Chrome
Pour obtenir la dernière version du navigateur :
- Ouvrez Chrome et cliquez sur l’icône à trois points en haut à droite
- Allez dans Aide et sélectionnez À propos de Google Chrome
- La nouvelle version sera automatiquement téléchargée et installée
- Redémarrez Chrome pour terminer le processus