Google déploie une mise à jour de sécurité afin de combler une faille critique détectée dans le navigateur Chrome. Le chercheur qui l'a identifiée vient de recevoir une jolie somme en récompense.
Après plus de quinze d'existence, le programme de récompenses pour Chrome est donc toujours bien opérationnel. Dernièrement, c'est le chercheur Looben Yang qui a reçu la somme de 43 000 dollars de la part de Google pour avoir découvert une vulnérabilité majeure dans Chrome. Celle-ci est identifiée sous le code CVE-2025-10200.
Une nouvelle faille critique prochaine corrigée
La vulnérabilité découverte touche le composant Serviceworker du navigateur Chrome et est qualifiée de « use-after-free ». Concrètement, cette expression désigne une situation dans laquelle le programme tente d’accéder à une zone mémoire qui a déjà été libérée. Ce comportement est courant dans les logiciels reposant sur des langages nécessitant une gestion manuelle de la mémoire, tels que C et C++.
Dans le cas de Chrome, un attaquant pourrait exploiter ce comportement pour placer du code malveillant dans la mémoire ainsi réutilisée. Si cette action est correctement orchestrée, elle permettrait l’exécution de commandes arbitraires sur la machine cible, et donc finalement une prise de contrôle complète du système. Google précise cependant qu’aucune exploitation active en conditions réelles n’a été détectée au moment de la correction.
Après avoir pris connaissance du fonctionnement de cette faille le 22 août dernier, Google a distribué une mise à jour corrective pour les principales plateformes : Windows, macOS et Linux. Ce patch devrait par la suite figurer au sein du répertoire open source de Chromium et mis à disposition des forks tels que Brave, Vivaldi, Opera et Microsoft Edge.
Avec le Vulnerability Reward Program Google s'assure que les chercheurs seront constamment mobilisés pour découvrir de nouvelles vulnérabilités et garantir de la sécurité de son navigateur. À ses débuts, la prime maximale était de 1 337 dollars, puis la barre est montée régulièrement : dès 2010, elle atteignait 3 133 dollars pour une faille critique et, à partir de 2019, les récompenses moyennes sont passées de 5 000 dollars à 15 000 dollars tandis que le plafond pour une chaîne d’exploitation critique pouvait dépasser les 150 000 dollars.
En 2024 et 2025, Google a de nouveau élevé le niveau jusqu'à 250 000 dollars, somme reversée à un certain Micky pour avoir découvert une vulnérabilité critique permettant de franchir la barrière d’isolation de la sandbox. En 2022, Google est allé jusqu'à verser 605 000 dollars au chercheur "gzobqq" pour la découverte d'une chaîne de cinq vulnérabilités critiques affectant Android.
