La vulnérabilité, référencée sous le numéro CVE-2026-11645, se trouve dans le moteur JavaScript V8 de Chrome. Il s’agit de la composante du navigateur qui permet l’exécution des sites web et des applications web. Selon Google, cette faille peut être exploitée via des pages web spécialement conçues pour accéder à la mémoire au-delà des limites prévues. Cela permet aux attaquants, dans certains cas, d’exécuter du code malveillant au sein du bac à sable de Chrome.
Bien que ce bac à sable soit normalement destiné à protéger le reste du système contre les attaques, la faille peut néanmoins exposer des informations sensibles ou provoquer des plantages. Combinée à d’autres vulnérabilités, elle pourrait également contourner des mécanismes de sécurité tels que l’ASLR, ce qui faciliterait la mise en place d’autres attaques.
La mise à jour est en cours de déploiement à l’échelle mondiale sur Windows, Mac et Linux
Google confirme que la société a connaissance d’attaques actives dans lesquelles cette faille a déjà été exploitée. Pour l’instant, elle ne donne aucun détail sur la nature exacte des attaques ou sur les victimes. C’est souvent le cas avec les failles zero-day : Google attend généralement qu’un nombre suffisant d’utilisateurs ait installé la mise à jour avant de rendre publics les détails techniques.
La mise à jour de sécurité est actuellement déployée sur Windows, macOS et Linux. Les utilisateurs de Windows et Linux recevront la version 149.0.7827.102, tandis que macOS recevra la version 149.0.7827.103. Normalement, Chrome installe les mises à jour automatiquement au prochain redémarrage du navigateur, mais les utilisateurs peuvent également vérifier manuellement la présence de mises à jour via « À propos de Google Chrome » dans les paramètres.
Déjà la cinquième faille zero-day de Chrome activement exploitée cette année
Cette nouvelle faille s’inscrit dans une tendance notable qui a déjà contraint Chrome à recevoir plusieurs mises à jour d’urgence cette année pour des vulnérabilités activement exploitées. Plus tôt cette année, Google avait déjà corrigé, entre autres, des failles dans la bibliothèque graphique Skia, le composant WebGPU Dawn et d’autres éléments du moteur V8. Plusieurs de ces vulnérabilités ont été découvertes par le Threat Analysis Group de Google, une équipe spécialisée dans les attaques sophistiquées et les campagnes de logiciels espions.
En 2025 également, Google a finalement dû corriger huit vulnérabilités « zero-day » activement utilisées dans des attaques. Cela souligne à quel point les navigateurs tels que Chrome restent populaires auprès des cybercriminels. Comme les navigateurs ont accès à des données sensibles telles que les mots de passe, les cookies et les données de session, ils constituent une cible de choix. Pour les utilisateurs, le conseil reste simple : installez les mises à jour du navigateur dès que possible et redémarrez Chrome régulièrement afin que les correctifs de sécurité soient appliqués efficacement.
