Google a publié Chrome 144 sur l'ensemble de ses plateformes de bureau. Cette nouvelle version corrige dix vulnérabilités, et c'est encore le moteur JavaScript V8 qu'il a fallu combler. Ce dernier concentre à lui seul six des correctifs déployés.
Google déploie Chrome 144 sur Windows, Mac et Linux, mais n'attendez pas de nouveautés révolutionnaires. Il s'agit surtout de déployer des correctifs de sécurité. Le 7 janvier dernier, l'éditeur publiait déjà un patch pour colmater la faille CVE-2026-0628, une vulnérabilité jugée grave dans WebView. Chrome 144 poursuit cette dynamique en s'attaquant à dix nouvelles brèches identifiées dans le navigateur.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Six vulnérabilités dans le moteur JavaScript
La faille la plus préoccupante porte le code CVE-2026-0899. Il s'agit d'un accès mémoire hors limites dans V8, le composant chargé d'exécuter tout le JavaScript du web. Ce type de bug permet à du code malveillant de lire ou de manipuler des zones mémoire qui ne devraient pas être accessibles. Un hacker pourrait potentiellement exploiter cette faille pour récupérer des informations sensibles, voire pour compromettre complètement le navigateur en couplant cette vulnérabilité à une autre.
V8 concentre à lui seul six des dix correctifs déployés dans Chrome 144. Outre CVE-2026-0899, on trouve deux autres vulnérabilités d'implémentation inappropriée : CVE-2026-0900, classée comme sérieuse, et CVE-2026-0902, jugée de gravité moyenne. Ces défauts correspondent à des comportements inattendus du moteur lors de certaines opérations de gestion mémoire. Le moteur peut alors lire ou écrire des données au mauvais moment, ce qui peut entraîner un plantage du navigateur ou, dans le pire des cas, une corruption de mémoire.
Le reste du bulletin de sécurité couvre quatre autres vulnérabilités dispersées dans différents composants de Chrome. CVE-2026-0901 touche Blink, le moteur de rendu responsable de l'affichage des pages web. CVE-2026-0903 affecte le module de téléchargements avec un problème de validation insuffisante des entrées. CVE-2026-0904 concerne l'interface utilisateur de Digital Credentials, tandis que CVE-2026-0906 et CVE-2026-0907 révèlent des erreurs d'affichage dans l'interface de sécurité et dans Split View. Enfin, CVE-2026-0908 correspond à un bug de type use-after-free dans ANGLE, le composant graphique du navigateur.
Google a versé plus de 18 500 dollars de primes aux chercheurs en sécurité externe qui ont signalé huit des dix failles. Le chercheur Hafiizh a notamment reçu 1 500 dollars pour avoir identifié les problèmes dans Digital Credentials et Split View. La mise à jour s'applique automatiquement, mais un redémarrage du navigateur reste nécessaire pour activer le correctif. Les utilisateurs peuvent vérifier leur version en consultant la page "À propos de Google Chrome" dans les paramètres. Les autres navigateurs basés sur Chromium (Brave, Edge, Opera, Vivaldi…) devraient eux-aussi profiter de ces correctifs.
