Google corrige trois failles de sécurité dans le code de Chrome. Ce trio de vulnérabilités peut permettre à un pirate de prendre le contrôle de votre navigateur, ainsi que de votre ordinateur. Google recommande d’installer la dernière mise à jour pour bloquer d’éventuelles cyberattaques.
Google indique avoir débusqué trois vulnérabilités au sein de Chrome. Comme l’explique le géant de Mountain View dans l’avis publié sur son site web, deux des failles de sécurité ont été trouvées par des chercheurs externes dans le cadre de son programme de bug bounty (ou « prime à la faille » en français ).
À lire aussi : Cyberespionnage en cours sur Chrome – une faille permet de propager des virus et de piller vos données
Des failles de haute gravité dans le code de Chrome
La première vulnérabilité concerne le moteur JavaScript V8, chargé d’exécuter le code des pages web. Considérée de haute gravité par Google, la faille survient lorsque que Chrome fait de mauvais calculs. Le navigateur est alors susceptible de lire ou d’écrire des données à un mauvais endroit de la mémoire, ouvrant la porte à une attaque.
Pour exploiter la faille, l’attaquant doit piéger une page web avec un code JavaScript malveillant. Il peut ainsi corrompre la mémoire ou exécuter du code arbitrairement. En d’autres termes, il prend le contrôle du navigateur., et de fil en aiguille, de l’ordinateur. Si la page piégée est bien conçue, l’offensive ne demande pas la moindre interaction de la part de l’utilisateur.
La seconde brèche, également de haute gravité, se situe dans le composant Profiler de Chrome, c’est-à-dire l’outil interne de mesure des performances du navigateur. Quand Profiler mesure certaines performances, il alloue temporairement de la mémoire à ses activités. Une fois que c’est fini, il libère cette mémoire quand il n’en a plus besoin. Suite à un bug, Chrome réutilise par erreur cette mémoire libérée, ce qui peut provoquer une corruption exploitable par un pirate. Avec un JavaScript piégé, il peut exécuter du code dans la mémoire pour prendre la main sur le navigateur et voler des données.
Dans son avertissement, Google ne communique pas sur la troisième faille, qui a été débusquée par ses équipes. Bonne nouvelle, « Google n’a détecté aucune exploitation active de ces failles au moment de la publication ». Les vulnérabilités ont été découvertes par des chercheurs avant que des cybercriminels ne puissent le faire.
Google lance un correctif
Afin de contrecarrer d’éventuelles attaques, Google a déployé un correctif d’urgence sur Chrome. L’entreprise américaine explique avoir lancé le déploiement de la version 137.0.7151.119/.120 de Chrome pour macOS et Windows, ainsi que 137.0.7151.119 pour Linux, en date du mardi 17 juin 2025. Tous les PC auront droit au correctif « au cours des prochains jours/semaines ». Il y a quelques semaines, Google a déjà déployé une mise à jour d’urgence pour corriger une faille de Chrome. Celle-ci était par contre activement exploitée par des hackers.
Mettez à jour Chrome dès que possible. Rendez-vous dans À propos de Google Chrome et cliquez sur Relancer pour finaliser l’installation. Pensez à redémarrer régulièrement Chrome pour recevoir les derniers correctifs. Par facilité, activez les mises à jour automatiques. Si vous utilisez un navigateur comme Edge ou Brave, pensez aussi à le mettre à jour. Ils se basent en effet sur le même moteur de rendu que Chrome, à savoir Chromium.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Google