L’un permet à un attaquant distant d’exécuter du code arbitraire dans un bac à sable, l’autre pourrait entraîner la perte d’informations sensibles.
Les acteurs malveillants exploitent deux vulnérabilités Zero Day de grande gravité dans le navigateur Chrome que les experts affirment que les équipes informatiques doivent corriger immédiatement.
Google a publié des correctifs d’urgence pour les deux failles, CVE-2026-3909 et CVE-2026-3910. Cela survient quelques jours seulement après la publication de 29 correctifs pour les trous dans le cadre du Patch Tuesday de mars et d’un correctif Zero Day publié en février. Sont concernés les navigateurs antérieurs à la version 146.0.7680.75.
Ces exploits constituent une autre raison pour laquelle les responsables de la sécurité de l’information doivent s’assurer qu’une stratégie d’entreprise de correctifs est en place pour tous les navigateurs et plugins autorisés.
« Si vous ne gérez pas les correctifs de navigateur, vos chances d’être bloqué augmentent chaque jour », a déclaré David Shipley du fournisseur canadien de formation en sensibilisation à la sécurité Beauceron Security.
CVE-2026-3910 permet à un attaquant distant d’exécuter du code arbitraire dans un bac à sable via une page HTML contrefaite, en raison d’une implémentation inappropriée dans le moteur JavaScript et WebAssembly V8 de Chrome. CVE-2026-3909 permet à un attaquant distant d’effectuer un accès mémoire hors limites via une page HTML contrefaite ; la cause est une écriture hors limites dans la bibliothèque graphique Skia de Chrome. L’accès à la mémoire du navigateur pourrait entraîner la perte d’informations sensibles sur l’entreprise, a noté Shipley.
Conformément à la politique de l’entreprise, Google ne divulgue pas de détails sur les bogues tant qu’une majorité d’utilisateurs n’ont pas reçu un correctif.
Les navigateurs, une cible privilégiée
Les navigateurs sont une cible privilégiée pour les auteurs de menaces, car ils constituent un outil que tout le monde utilise en ligne. Un rapport de 2025 d’Omdia pour Palo Alto Networks estime que, sur une période de 12 mois, 95 % des organisations ont subi un incident de sécurité provenant du navigateur d’un employé.
Pour cette raison, un expert a noté que les adversaires ciblent désormais directement le navigateur, avec des attaques telles que le cross-site scripting (XSS), le détournement de session via des jetons volés et le phishing avancé qui contourne la MFA traditionnelle. Un cadre de confiance zéro centré sur le navigateur est la réponse nécessaire, a-t-il soutenu.
(Contenu associé : Choisir un navigateur d’entreprise sécurisé)
Ces nouvelles failles soulignent la raison pour laquelle les moteurs de navigateur restent parmi les cibles les plus attractives pour les attaquants, a noté Jack Bicer, directeur de la recherche sur les vulnérabilités chez Action1. « L’exploitation active étant déjà confirmée, les organisations qui retardent les mises à jour risquent d’exposer les utilisateurs à des attaques incontrôlées via des sites Web compromis ou malveillants. »
Chromium et tous les navigateurs basés sur Chromium, y compris Chrome, Edge et autres, doivent être mis à jour dès que possible avec les dernières versions de sécurité, a-t-il déclaré. Les administrateurs doivent également veiller à ce que les mises à jour automatiques soient activées sur tous les points de terminaison de l’entreprise, surveiller les versions de navigateur obsolètes et envisager des technologies d’isolation du navigateur pour réduire l’exposition aux attaques Web.
Scott Caveza, ingénieur de recherche senior chez Tenable, convient que les deux derniers jours zéro devraient être sur le radar de toute organisation où Chrome est activement installé. Bien que Google n’ait pas fourni de détails sur l’utilisation abusive de ces failles, il a noté que la plupart des exploits liés au navigateur nécessitent qu’une victime visite un site Web contrefait, ce qui rend les attaques plus susceptibles d’être ciblées.
Heureusement, a-t-il ajouté, la mise à jour de Chrome est rapide et facile, et de nombreuses installations laissent les mises à jour automatiques activées.
« Nous savons que les attaquants sont opportunistes et lorsqu’ils visent l’un des navigateurs les plus largement installés sur le marché, il est impératif que les équipes agissent dès maintenant pour garantir que les mises à jour soient appliquées le plus rapidement possible », a-t-il déclaré.
