Microsoft vient de publier une mise à jour de sécurité pour Edge 138. La version 138.0.3351.121 corrige une vulnérabilité de niveau élevé dans le composant Media Stream de Chromium.
- Microsoft Edge 138.0.3351.121 corrige une vulnérabilité critique dans Media Stream, héritée de Chromium.
- La faille CVE-2025-8292 permet l'exploitation via une page web malveillante, nécessitant une mise à jour urgente.
- Edge 139, prévu la semaine prochaine, introduira des améliorations de performance et des notifications de sécurité.
Microsoft Edge 138 reçoit une nouvelle mise à jour qui traite un seul problème de sécurité. La version 138.0.3351.121 est disponible sur le canal stable depuis le 1er août. Cette mise à jour ne contient aucune nouvelle fonctionnalité et se concentre uniquement sur la correction d'une vulnérabilité héritée de Chromium.
Le problème touche Media Stream, le composant responsable du streaming audio et vidéo dans le navigateur, que Microsoft continue de pousser. Cette vulnérabilité permet à un attaquant de corrompre une zone d'allocation mémoire. Le navigateur continue d'utiliser de la mémoire après l'avoir libérée, ce qui ouvre la porte à l'exécution de code malveillant ou au plantage du navigateur. Microsoft recommande vivement d'installer cette mise à jour sans attendre.
- Intégration imminente de l'IA ChatGPT et DALL-E
- Compatibilité avec les extensions Chrome
- Espaces de travail appréciables en travail collaboratif
Une vulnérabilité exploitable via une simple page web malveillante
La vulnérabilité porte la référence CVE-2025-8292 et obtient un niveau de sécurité « Élevé » selon la classification de Chromium. « L'utilisation d'une fonction de libération dans Media Stream dans Google Chrome avant la version 138.0.7204.183 permettait à un attaquant distant d'exploiter une corruption de tas via une page HTML spécialement conçue », précise l'enregistrement CVE.
Un pirate peut donc exploiter cette faille simplement en créant une page web malveillante. L'utilisateur qui visite cette page expose son navigateur à une attaque potentielle. Cette correction de sécurité intervient juste avant le lancement d'Edge 139, prévu pour la semaine prochaine.
La nouvelle version majeure apportera des composants WebUI 2 pour améliorer les performances. Elle intégrera aussi des notifications en temps réel en cas de mots de passe compromis et des modifications d'Edge Wallet.
Cela va sans dire, mais cela va toujours mieux en le disant, vous pouvez mettre à jour Edge manuellement en vous rendant dans edge://settings/help. Le navigateur vérifie automatiquement la disponibilité des mises à jour et propose leur installation. L'autre option consiste à redémarrer Edge, qui appliquera automatiquement les mises à jour en attente au prochain lancement.
