Des failles affectant le moteur JavaScript V8 attirent toujours les attaquants vers le navigateur le plus utilisé au monde.
Pour la troisième fois au cours des derniers mois, Google a dû se démener pour corriger une faille zero-day potentiellement grave dans le moteur JavaScript V8 du navigateur Chrome.
Corrigée lundi dans le cadre d’un correctif d’urgence « hors bande », la vulnérabilité identifiée comme CVE-2025-13223 a été découverte par Clément Lecigne du groupe d’analyse des menaces (TAG) interne de Google.
À un moment donné, la société a également découvert des preuves que la faille, classée « élevée » avec un score CVSS de 8,8, était exploitée dans la nature.
Comme il est d’usage d’éviter de donner des indices à d’autres groupes de menaces, l’avis de Google n’offre aucun détail sur cette découverte, indiquant simplement : « Google est conscient qu’un exploit pour CVE-2025-13223 existe dans la nature. »
Tapez confusion
La description de la vulnérabilité est tout aussi clairsemée, mentionnant seulement qu’il s’agit d’une faille de type Confusion affectant le moteur JavaScript V8. Il s’agit d’un élément essentiel non seulement de Chrome, mais également d’autres navigateurs basés sur Chromium, notamment Microsoft Edge, Brave et Opera.
Ce dernier point est important étant donné que les navigateurs Chromium sont de loin les navigateurs grand public et professionnels les plus utilisés au monde. Sans surprise, Google a ajouté la déclaration passe-partout suivante à son dernier avis :
« L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif. Nous conserverons également des restrictions si le bogue existe dans une bibliothèque tierce dont dépendent également d’autres projets, mais qui n’ont pas encore été corrigés. «
Dans le cas d’applications tierces, cela peut prendre un certain temps. Bref, ne retenez pas votre souffle si vous attendez une explication plus détaillée de CVE-2025-13223.
Le moteur V8 a été introduit par Google en 2008 pour accélérer JavaScript, une technologie de script C++ fondamentale pour la technologie Web moderne. Type Confusion est une classe de vulnérabilité qui, dans ce type de composant codé en C, peut provoquer une corruption de la mémoire, un accès hors limites et, dans le pire des cas, l’exécution de code.
Cela soulève la possibilité que CVE-2025-13223 puisse être exploité sans interaction de l’utilisateur en attirant un utilisateur vers un site Web piégé. L’avis de Google ne le dit pas, tandis que l’entrée National Vulnerability (NVD) dit seulement : « Type Confusion dans V8 dans Google Chrome avant 142.0.7444.175 permettait à un attaquant distant d’exploiter potentiellement la corruption du tas via une page HTML contrefaite. » Cependant, étant donné que de nombreuses vulnérabilités du moteur V8 rendent ce type d’exploit possible, les administrateurs de sécurité devraient considérer qu’il s’agit d’un risque et patcher Chrome en priorité.
Mise à jour d’entreprise
La dernière mise à jour corrige également une vulnérabilité distincte de Type Confusion dans le moteur V8, CVE-2025-13224, également classée comme « haute » priorité. Jusqu’à présent, rien n’indique que cela soit sous-exploité.
Les clients Entreprise peuvent corriger ces deux failles en mettant à jour vers la version 142.0.7444.175/.176 de Chrome pour Windows, la version 142.0.7444.176 pour Mac et la version 142.0.7444.175 pour Linux.
Normalement, les entreprises effectuent des mises à jour toutes les huit semaines sur Extended Stable Channel (ESC), ce qui laisse suffisamment de temps pour les tests. En revanche, les correctifs pour les vulnérabilités Zero Day seront généralement appliqués manuellement en quelques jours.
« Pour les administrateurs d’entreprise, le bilan est réel, car zéro jour signifie une course intense pour obtenir des correctifs et des tests rapides. Et parce que les mises à jour de Chrome arrivent sans véritable avertissement, difficiles et souvent, les équipes n’ont pas de répit », a commenté Zbyněk Sopuch, CTO de la société de gestion des risques Safetica.
« Le modèle ici est que les composants partagés multiplient le rayon d’explosion, et jusqu’à ce que la communauté au sens large applique les correctifs de manière organisée, le V8 reste l’une des cibles les plus mûres de la pièce », a-t-il ajouté.
Les attaquants recherchent toujours des moyens de cibler le V8, a-t-il déclaré, car cela leur permet de « viser l’ensemble de la ruche. Les administrateurs restent éveillés la nuit à cause de Chrome et de la liste inconnue d’applications qui exécutent silencieusement le même moteur ».
Chrome a subi deux autres jours zéro confirmés dans le moteur V8 en 2025, sur un total de sept dans l’ensemble de Chrome. Les failles V8 étaient CVE-2025-5419 en juin et CVE-2025-10585 en septembre. Sept jours zéro, cela semble beaucoup, mais le décompte annuel se situe autour de ce niveau depuis un certain temps.
