Dans un avis de sécurité, Google indique qu’un exploit pour la vulnérabilité CVE-2026-2441 circule actuellement. Les détails concernant les attaques elles-mêmes ne sont pas divulgués pour l’instant. D’après l’historique des commits de Chromium, il s’agit d’une vulnérabilité de type « use-after-free ». La faille a été signalée par le chercheur en sécurité Shaheen Fazim et a été provoquée par une erreur d’invalidation d’itérateur dans CSSFontFeatureValuesMap, l’implémentation Chrome des fonctions de police CSS.
Si des pirates informatiques en tirent parti, cette vulnérabilité peut entraîner des plantages du navigateur, des problèmes d’affichage, une corruption des données ou d’autres comportements imprévisibles. Cela ouvre la voie à d’autres attaques, selon la manière dont la faille est exploitée. Il est à noter que le message de commit indique que le correctif résout le « problème immédiat », mais que des travaux supplémentaires sont nécessaires et feront l’objet d’une entrée distincte dans le système de suivi des bogues. Cela suggère qu’il s’agit d’une solution provisoire, ou qu’une analyse plus approfondie est nécessaire pour obtenir une vue d’ensemble.
Déploiement accéléré via la version stable
Ce correctif a été classé comme « cherry-picked », ce qui signifie qu’il a été réintégré en priorité dans la version stable de Chrome plutôt que d’attendre la prochaine mise à jour majeure. Cette approche indique généralement que le risque est réel et urgent, surtout lorsqu’une vulnérabilité est déjà activement exploitée.
Google indique que l’accès aux détails techniques restera limité pour le moment, jusqu’à ce que la majorité des utilisateurs ait installé la mise à jour. Cette restriction pourrait également rester en vigueur plus longtemps si la vulnérabilité se trouve dans une bibliothèque externe dont dépendent également d’autres projets et pour laquelle aucune solution n’a encore été déployée.
Nouvelles versions pour Windows, macOS et Linux
Le correctif est désormais disponible pour les utilisateurs de la version Stable Desktop. Les utilisateurs de Windows et de macOS se verront proposer la version 145.0.7632.75/76, tandis que les utilisateurs de Linux recevront la mise à jour 144.0.7559.75. Le déploiement se fait par étapes et peut prendre de quelques jours à plusieurs semaines. Si vous ne souhaitez pas effectuer la mise à jour manuellement, vous pouvez configurer Chrome pour qu’il vérifie automatiquement les mises à jour. Dans tous les cas, l’installation ne se fera qu’après le redémarrage du navigateur. Pour effectuer la mise à jour manuellement, ouvrez le menu en haut à droite de Chrome à l’aide des trois points. Cliquez ensuite sur « Aide » puis sur « À propos de Google Chrome ». Le navigateur devrait alors lancer la mise à jour (il faut parfois le faire manuellement).
Huit vulnérabilités « zero-day » en 2025
Bien qu’il s’agisse de la première vulnérabilité de Chrome activement exploitée en 2026, Google a eu fort à faire l’année dernière. En 2025, huit vulnérabilités « zero-day » exploitées en milieu réel ont été corrigées. Plusieurs d’entre elles ont été signalées par le Threat Analysis Group (TAG) de Google, qui se consacre principalement à l’analyse des campagnes de logiciels espions et des attaques ciblées contre des groupes à risque.
