Au moins, il dispose de quelques outils basés sur l’IA pour l’aider à trouver et à corriger les bogues.
Google a corrigé une autre vulnérabilité zero-day dans Chrome, la quatrième cette année. En corrigeant la vulnérabilité, identifiée comme CVE-2026-5281, la société a reconnu qu’un exploit existe déjà dans la nature.
Selon le rapport de la National Vulnerability Database du NIST, la vulnérabilité dans Dawn, l’implémentation du WebGPU utilisé par Chrome, a permis à un attaquant distant qui avait compromis le processus de rendu d’exécuter du code arbitraire via une page HTML contrefaite. Il a conseillé aux utilisateurs de mettre à jour vers Chrome 146.0.7680.178 ou une version plus récente.
Les trois vulnérabilités précédentes corrigées dans Chrome cette année se trouvaient dans différentes zones du code.
Le premier, identifié comme CVE-2026-2441 et corrigé en février, était un défaut dans la façon dont la mémoire était gérée lors du traitement des feuilles de style en cascade (CSS).
Les deux autres ont été corrigés en mars. L’un d’eux était un bug dans la bibliothèque graphique Skia (CVE-2026-3909) qui permettait l’accès en écriture aux adresses mémoire en dehors des limites d’un tampon prédéfini. Le second (CVE-2026-3910) a été trouvé dans le moteur JavaScript V8 et a été décrit par Google comme une « implémentation inappropriée ».
Google sera préoccupé par le fait qu’à peine un quart de l’année, il a déjà dû fournir des correctifs pour quatre exploits sauvages. L’année dernière, il a introduit Code Mender, un outil de sécurité pour aider à corriger les vulnérabilités de sécurité dans les projets open source, et cherchera à introduire davantage d’aide à l’IA pour résoudre ces problèmes.
