Nouvelle vulnérabilité découverte, nouvelle mise à jour urgente. Google vient de colmater une nouvelle faille sévère dans Chrome, observée en conditions réelles. C’est déjà la troisième faille zero-day activement exploitée depuis le début de l’année.
La dernière mise à jour de sécurité de Google Chrome, déployée en début de semaine, ne corrige qu’un seul bug, mais pas n’importe lequel. Référencée CVE-2025-6554, cette vulnérabilité de type type confusion dans le moteur JavaScript V8 pourrait permettre à un site malveillant d’exécuter du code sur l’appareil cible. Selon Google, elle n’est d’ailleurs pas restée longtemps théorique, puisque l’entreprise a confirmé qu’elle avait déjà été exploitée avant même la publication du correctif. Une situation qui commence à devenir familière pour le navigateur de Google, qui encaisse ici sa troisième faille zero-day de l’année.
Une faille sévère dans V8, déjà entre de mauvaises mains
Signalée le 25 juin par Clément Lecigne, chercheur au sein du Threat Analysis Group (TAG) de Google, cette faille concerne une nouvelle fois le moteur V8, déjà mis en cause dans deux incidents précédents. La vulnérabilité CVE-2025-6554 (score CVSS 8.8 – gravité élevée, à un souffle du seuil critique) est liée à une erreur dans le traitement du type de données, susceptible d’entraîner des corruptions mémoire. Si ce genre de bug provoque parfois un simple plantage du navigateur, il peut aussi, dans certains cas, permettre l’exécution de code arbitraire sur un système non patché.
Google a appliqué une première mesure de mitigation dès le lendemain de sa découverte, via un changement de configuration déployé sur tous les canaux stables. Le correctif complet a suivi quelques jours plus tard, le 1er juillet, avec les versions 138.0.7204.96/.97 pour Windows, .92/.93 pour macOS, et .96 pour Linux. Comme souvent, les détails techniques sont temporairement tenus confidentiels, afin de limiter le risque d’exploitation opportuniste avant que la majorité des internautes aient effectué la mise à jour.
À toutes fins utiles, on rappellera que le moteur V8 n’est pas propre à Chrome : il est au cœur de la plupart des navigateurs basés sur Chromium, dont Microsoft Edge, Brave, Opera et Vivaldi. Ces navigateurs sont donc potentiellement exposés à la même vulnérabilité, tant qu’ils n’ont pas intégré le correctif publié par Google. En l’absence de communication spécifique, il est recommandé aux utilisateurs et utilisatrices de vérifier que leur navigateur est bien à jour.
Trois failles zero-day exploitées depuis janvier
Depuis janvier, Chrome enchaîne les correctifs d’urgence. Avant celle de juillet, deux autres failles zero-day avaient déjà été exploitées. La première, CVE-2025-2783, détectée par Kaspersky en mars, permettait de contourner la sandbox de Chrome dans le cadre d’une campagne de phishing ciblée baptisée Operation ForumTroll. La seconde, CVE-2025-5419, identifiée fin mai par le TAG, touchait, elle aussi, le moteur V8, et autorisait des accès mémoire hors limites via des pages piégées. Dans les deux cas, l’exploitation avait été confirmée, et les correctifs diffusés en dehors du cycle habituel.
Deux autres failles, CVE-2025-6191 et CVE-2025-6192, avaient également été découvertes et corrigées mi-juin, sans indication d’exploitation dans la nature. Ce qui porte donc à cinq le nombre total de vulnérabilités importantes corrigées depuis le début de l’année, dont trois zero-days ayant fait l’objet d’une exploitation active. Un rythme soutenu, mais pas totalement inédit : en 2024, Google avait dû corriger dix zero-days en douze mois, dont plusieurs liées à des campagnes de cyberespionnage.
Sources : Google, Cyberveille
