Google vient de publier la version stable de Chrome 140 sur Windows, macOS et Linux. Parmi les six failles corrigées, une vulnérabilité à risque élevé touche une nouvelle fois V8, le moteur JavaScript du navigateur.
- Google a lancé Chrome 140 sur Windows, macOS et Linux, corrigeant six vulnérabilités, dont une à risque élevé.
- La faille la plus importante concerne V8, le moteur JavaScript, permettant potentiellement l'exécution de code arbitraire à distance.
- Cinq autres failles, classées de gravité moyenne, touchent des éléments comme les extensions et le gestionnaire de téléchargements.
Google a lancé le déploiement progressif de Chrome 140 sur desktop. Si les nouveautés fonctionnelles restent discrètes pour l’instant, le détail des correctifs de sécurité donne un bon aperçu des priorités de cette version. Au total, six vulnérabilités ont été corrigées, dont une jugée à risque élevé. Sans surprise, c’est encore le moteur JavaScript V8 qui concentre l’attention. Les autres problèmes, de gravité moyenne, ciblent des modules secondaires mais courants, comme les extensions ou le gestionnaire de téléchargements.
JavaScript V8, moteur toujours sous pression
La faille la plus sérieuse de cette mise à jour (CVE-2025-9864) a été signalée par Pavel Kuzmin, chercheur chez Yandex Security. Elle concerne un bug de type use-after-free dans V8, le moteur JavaScript de Chrome, et a été classée à risque élevé (High). Cette classe de vulnérabilité peut, dans certains cas, permettre l’exécution de code arbitraire à distance.
Comme souvent avec ce genre de faille, les détails techniques restent temporairement confidentiels. Google attend que la majorité des utilisateurs et utilisatrices ait reçu le correctif avant d’ouvrir l’accès complet au rapport, afin de limiter les risques d’exploitation active pendant la phase de déploiement.
Si les vulnérabilités de type use-after-free dans V8 sont régulièrement signalées, c’est avant tout en raison de la complexité de sa gestion mémoire et de sa forte exposition. Chargé d’exécuter tout le code JavaScript dans le navigateur, V8 constitue une cible de choix pour les attaquants, ce qui incite les chercheurs, internes comme externes, à en examiner de près le fonctionnement. Or, plus un composant est scruté, plus on est susceptible d’y faire des découvertes : une logique qui contribue aussi à expliquer la fréquence des signalements, malgré les protections mises en place au fil des versions – renforcement de la sandbox, MiraclePtr, Control Flow Integrity, isolation de site.
Des vulnérabilités périphériques, mais pas moins sensibles
En plus de la faille touchant V8, cinq autres vulnérabilités ont été corrigées dans Chrome 140. Trois d’entre elles touchent des éléments secondaires du navigateur : la barre d’outils (CVE-2025-9865), les extensions (CVE-2025-9866) et le module de téléchargement (CVE-2025-9867). Toutes sont classées de gravité moyenne et relèvent d’implémentations inappropriées. Elles ont été signalées par des chercheurs indépendants, récompensés entre 1 000 et 5 000 dollars dans le cadre du programme de bug bounty.
Les deux dernières vulnérabilités ont a priori été détectées en interne, grâce aux outils d’analyse automatisée et de fuzzing utilisés par l’équipe sécurité de Google. Aucun détail supplémentaire n’a été communiqué à leur sujet, vraisemblablement pour des raisons de coordination ou de sécurité.
Même si toutes ces failles ne sont pas exploitables à distance, elles montrent que certaines zones du navigateur restent sensibles. Pour limiter les risques, il est fortement recommandé d’installer la mise à jour dès qu’elle est disponible.
Source : Google
