Google publie le premier correctif de sécurité de l'année pour Chrome. La version 143.0.7499.192/193, déployée depuis le 6 janvier sur Windows, Mac et Linux, corrige une vulnérabilité jugée grave dans le composant WebView.
La faille CVE-2026-0628 concerne un problème d'application des règles de sécurité dans la balise WebView de Chrome. Ce composant technique permet aux applications d'afficher du contenu web directement dans leur interface, sans ouvrir un navigateur complet. Le chercheur Gal Weizman a signalé le problème à Google le 23 novembre dernier, laissant aux équipes de Chrome le temps de développer un correctif avant la divulgation publique.
Quand une extension piégée ouvre la porte
Pour exploiter cette brèche, un attaquant doit d'abord convaincre sa cible d'installer une extension Chrome malveillante. Une fois en place, celle-ci peut détourner WebView pour injecter du code dans des pages normalement protégées du navigateur.
La balise <webview> sert habituellement à isoler le contenu externe des zones critiques du navigateur. Sauf que dans ce cas de figure, le cloisonnement ne fonctionne pas. En manipulant les messages IPC (Inter-Process Communication) échangés entre l'extension et le processus du navigateur, un attaquant peut forcer l'ouverture de pages internes comme chrome://settings dans un contexte qui devrait lui être interdit. Cette manipulation permet donc potentiellement de modifier des paramètres de sécurité, d'accéder aux sessions utilisateur ou de récupérer des données stockées.
WebView ne se limite pas au navigateur sur ordinateur. Ce moteur de rendu trouve également sa place dans des milliers d'applications Android qui affichent du contenu web, par exemple une messagerie qui retourne la prévisualisation d'un lien. D'emblée, plusieurs applications peuvent donc devenir vulnérables sur un même appareil.
Par mesure de sécurité, Google n'a pas partagé de détails sur le fonctionnement de cette vulnérabilité. Le navigateur applique automatiquement la mise à jour, mais un redémarrage reste nécessaire pour activer le patch.
En novembre dernier, Google a publié un correctif en urgence pour colmater une faille dans V8, son moteur JavaScript. Début décembre, 13 vulnérabilités ont été corrigées avec Chrome 143.
