Ces failles ont été identifiées sous les références CVE-2026-3909 et CVE-2026-3910. Google a découvert ces problèmes par lui-même et a rapidement mis à disposition une mise à jour pour la version stable de Chrome pour ordinateur.
Faille dans la bibliothèque graphique et le moteur
JavaScript
La première faille se trouve dans Skia, une bibliothèque graphique open source que Chrome utilise pour afficher les pages web et les éléments d’interface. Une erreur permettant d’écrire des données en dehors des limites de la mémoire permet à un pirate de provoquer le plantage du navigateur. Dans certains cas, un tel bug pourrait même être exploité pour exécuter son propre code sur le système d’un utilisateur.
La deuxième faille se trouve dans V8, le moteur JavaScript et WebAssembly de Chrome. Google la décrit comme une erreur dans l’implémentation de certaines fonctions. L’entreprise ne divulgue pas pour l’instant beaucoup de détails techniques, mais selon Google, cette vulnérabilité peut également être exploitée dans le cadre d’attaques.
Déploiement progressif de
la mise à jour
Les correctifs ont entre-temps été intégrés à Chrome 146.0.7680.75 pour Windows et Linux et à la version 146.0.7680.76 pour macOS. Comme c’est souvent le cas avec les mises à jour de Chrome, la nouvelle version est déployée progressivement. Il faudra donc peut-être encore un peu de temps avant que tous les utilisateurs ne reçoivent automatiquement la mise à jour.
Si vous ne souhaitez pas attendre, vous pouvez vérifier manuellement la présence de mises à jour dans Chrome. Pour ce faire, ouvrez le menu en cliquant sur les trois points en haut à droite, puis cliquez sur « Aide » et « À propos de Google Chrome ». Après le redémarrage du navigateur, la nouvelle version sera immédiatement installée.
Ce n’est pas le premier zeroday cette année
Il s’agit déjà des deuxième et troisième zerodays que Google a dû corriger cette année dans Chrome. En février, le CVE-2026-2441 a également été corrigé, une faille dans le traitement de certains paramètres de police CSS. L’année dernière, Google a corrigé au total huit failles « zero-day » qui étaient déjà exploitées en milieu réel. Plusieurs d’entre elles ont été découvertes par le Google Threat Analysis Group, une équipe de recherche chargée de détecter les attaques numériques sophistiquées.
Google a d’ailleurs annoncé cette semaine avoir versé plus de 17 millions de dollars en 2025 à des chercheurs en sécurité via son programme de prime aux bogues, qui récompense les chercheurs signalant des vulnérabilités dans ses logiciels.
