La vulnérabilité dans le moteur JavaScript Chrome V8 est évaluée à haute gravité et a été découverte par le groupe d’analyse des menaces de Google.
L’équipe Google Chrome a publié une mise à jour pour corriger une vulnérabilité à haute sévérité qui est activement exploitée dans la nature. Le problème a également été atténué par un changement de configuration poussé jeudi dernier aux utilisateurs de la version chromée stable, qui ne nécessitait pas de mise à jour de navigateur.
Les exploits de Google Chrome sont des produits très précieux sur les marchés noirs et gris avec des prix atteignant des centaines de milliers de dollars. En effet, Chrome est l’un des navigateurs les plus durcis et il utilise des bacs de sable de processus pour ajouter des obstacles supplémentaires aux attaquants. Le contournement de toutes ces défenses et la réalisation de l’exécution de code à distance sur un système via Chrome nécessite généralement de chanter plusieurs vulnérabilités ensemble.
(Voir aussi: «Top 7 des tendances d’exploitation zéro jour de 2024»)
Troisième chrome zéro-jour cette année
Cela dit, le CVE-2025-5419, qui a été corrigé lundi dans Chrome 137.0.7151.68/.69 pour Windows et Mac et 137.0.7151.68 pour Linux, est le troisième défaut zéro-jour fixé dans Chrome cette année. Les deux autres, CVE-2025-2783 et CVE-2025-4664, ont été fixés en mars et mai, respectivement. Cela met en évidence l’intérêt élevé que les pirates ont pour compromettre les utilisateurs de Chrome, malgré la difficulté.
Le nouveau défaut a été signalé à l’équipe Chrome par des membres du groupe d’analyse des menaces de Google, qui est principalement responsable de la défense de l’infrastructure Google et des utilisateurs contre les attaques soutenues par le gouvernement. Cela suggère que la vulnérabilité a probablement été découverte dans la nature, bien que les détails n’aient pas encore été publiés.
La vulnérabilité est considérée comme une forte gravité, ce qui indique qu’elle ne peut pas conduire à une exécution de code distante sur le système d’exploitation sous-jacent et doit probablement être combiné avec un autre défaut pour le faire. Sinon, la faille aurait été évaluée critique.
Vulnérabilité dans le moteur javascript
L’équipe Chrome a décrit la vulnérabilité comme une lecture de mémoire hors limites et d’écrire dans V8, qui est le moteur JavaScript et WebAssembly de Chrome. Le moteur V8 open source est également utilisé dans d’autres projets, y compris le runtime Node.js. Étant donné que le moteur est conçu pour interpréter et exécuter le code JavaScript et WebAssembly, la vulnérabilité peut probablement être déclenchée à distance par les utilisateurs en visitant simplement des pages Web qui chargent du code artisanal malicieusement.
« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité des utilisateurs soient mis à jour avec un correctif », a déclaré Google dans son avis. «Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce sur laquelle d’autres projets dépendent également, mais pas encore corrigé.»
Mis à part CVE-2025-5419, la nouvelle mise à jour Chrome corrige également un bug de mémoire d’usage sans sévérité après Blink, le moteur de rendu du navigateur. Cette vulnérabilité a été rapportée en privé par un chercheur qui a reçu une prime de 1 000 $ pour cela.
Le navigateur Chrome dispose d’un mécanisme de mise à jour automatique, mais les utilisateurs qui ne l’ont pas encore reçu et souhaitent inviter la mise à jour manuellement peuvent accéder à l’aide> sur le menu Google Chrome pour déclencher une vérification de mise à jour.
