Google a publié une mise à jour critique pour Chrome afin de corriger deux vulnérabilités affectant le navigateur, dont une est exploitée activement par des hackers.
Google a déployé lundi une mise à jour de sécurité pour Chrome visant à corriger deux failles critiques dans son moteur JavaScript V8. Le géant californien reconnait que la première vulnérabilité, identifiée sous le code CVE-2025-13223, a déjà fait des victimes. C'est la septième faille zero-day corrigée dans Chrome depuis le début de l'année.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Deux vulnérabilités dans le moteur V8
Les deux brèches identifiées relèvent d'un même type d'attaque appelé "type confusion". Ce problème survient lorsque le moteur V8, chargé d'exécuter le code JavaScript et WebAssembly dans Chrome, interprète incorrectement les types de données. Cette confusion peut provoquer une corruption de la mémoire, permettant à un attaquant distant d'exécuter du code arbitraire sur le système de la victime via une simple page HTML piégée. Le score de gravité CVSS attribué à ces vulnérabilités atteint 8.8, ce qui les classe comme "hautement critiques".
La faille CVE-2025-13223 a été signalée le 12 novembre 2025 par Clément Lecigne, membre du Threat Analysis Group (TAG) de Google. Ce dernier surveille habituellement les menaces persistantes avancées (APT) et les opérations d'espionnage menées par des acteurs étatiques. Google n'a toutefois communiqué aucun détail sur l'identité des attaquants, les cibles visées ou l'ampleur des opérations.
Tous les navigateurs Chromium sont concernés
La seconde vulnérabilité, CVE-2025-13224, a été détectée le 9 octobre 2025 par Big Sleep, l'outil basé sur des algorithmes d'intelligence artificielle développé en interne par Google. Ce système automatisé permet d'identifier proactivement des failles avant qu'elles ne soient exploitées. Contrairement à CVE-2025-13223, aucune exploitation active n'a été constatée pour cette seconde faille.
Ce n'est pas la première fois que les vulnérabilités de type confusion se transforment en un vecteur d'attaque dans le navigateur. CVE-2025-13223 est la troisième faille de ce type exploitée activement dans V8 en 2025, après CVE-2025-6554 et CVE-2025-10585. En contournant les protections sandbox de Chrome, les hackers sont en mesure de voler des données sensibles ou d'installer des logiciels malveillants.
Google a publié les versions 142.0.7444.175 et 142.0.7444.176 pour Windows, Mac et Linux. Les utilisateurs de navigateurs basés sur Chromium, comme Microsoft Edge, Brave, Opera ou Vivaldi, doivent également appliquer les correctifs dès leur disponibilité. La mise à jour s'effectue depuis le menu Chrome via Plus > Aide > À propos de Google Chrome.
