Google a publié une mise à jour de sécurité d'urgence pour son navigateur Chrome. Les experts ont repéré une nouvelle faille zero-day exploitée par des cybercriminels. C'est la sixième depuis le début de l'année.
Il est vivement conseillé de forcer la mise à jour du navigateur Chrome en version 140.0.7339.185/.186 afin de corriger quatre vulnérabilités critiques, dont une faille zero-day activement exploitée. Cette dernière, référencée CVE-2025-10585, constitue la sixième faille zero-day découverte dans Chrome depuis le début de l'année 2025.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une simple page Web suffit pour hacker la victime
La vulnérabilité CVE-2025-10585 affecte V8, regroupant le moteur d'exécution JavaScript ainsi que le composant WebAssembly, lequel permet d’exécuter dans le navigateur du code compilé à partir de langages comme C ou Rust. Google explique qu'il s'agit d'une faille de "type confusion", laquelle apparaît lorsqu'un programme traite incorrectement un bloc de mémoire. Concrètement, le navigateur confond le type de données qu'il manipule, ce qui permet aux attaquants de déclencher des comportements inattendus du logiciel.
Cette faille peut autoriser l'exécution de code arbitraire sur l'ordinateur de la victime, simplement en visitant une page web malveillante spécialement conçue. Et c'est bien ce qui préoccupe les experts de Google : la victime, elle, n'a rien besoin de faire, si ce n'est que de charger la page web en question. L'attaque ne nécessite aucune autre interaction particulière.
La faille a été découverte le 16 septembre 2025 par le Threat Analysis Group de Google, l'équipe spécialisée dans la détection des menaces avancées.
Google confirme qu'un exploit fonctionnel de cette vulnérabilité circule déjà et est utilisé dans des scénarios bien réels. L'entreprise ne divulgue aucun détail sur la nature des attaques, les responsables ou l'ampleur des campagnes malveillantes. Dans le cas contraire, cela permettrait à d'autres cybercriminels d'exploiter la brèche avant que les utilisateurs n'appliquent le correctif.
Mais ce n'est pas tout ! La mise à jour corrige également trois autres vulnérabilités critiques : une faille use-after-free dans Dawn (CVE-2025-10500), une autre dans WebRTC (CVE-2025-10501), et un dépassement de tampon dans ANGLE (CVE-2025-10502). Ces composants gèrent respectivement les graphiques WebGPU, les communications en temps réel et la traduction graphique.
Pour forcer la mise à jour, il faut se rendre au sein du menu "Plus > Aide > À propos de Google Chrome" et redémarrer le navigateur après installation. Ce patch s'étend également aux autres navigateurs basés sur Chromium comme Microsoft Edge, Brave, Opera et Vivaldi, lesquels recevront leurs propres mises à jour dans les prochains jours.
