Google a publié une mise à jour de sécurité pour Chrome corrigeant deux vulnérabilités jugée graves. Une fois de plus, les failles touchent le moteur JavaScript V8 et la bibliothèque de traitement vidéo libvpx, et permettent à un attaquant d'exécuter du code arbitraire sur le système de la victime.
Le patch est déployé depuis quelques jours sous les versions 144.0.7559.132/.133 pour Windows et Mac, ainsi que 144.0.7559.132 pour Linux. Google confirme que le déploiement se fera progressivement durant les prochains jours et les prochaines semaines.
Des brèches dans V8 et le décodeur vidéo
La première vulnérabilité, identifiée CVE-2026-1862, concerne donc V8, le moteur JavaScript et WebAssembly open source de Chrome. Elle repose sur une confusion de types, un problème qui survient lorsque le moteur tente d'accéder à une ressource mémoire avec un type incompatible. Concrètement, cela revient à traiter un entier comme s'il s'agissait d'un pointeur. Cette confusion permet à un attaquant de manipuler les pointeurs mémoire et d'écrire ou de lire de la mémoire hors des limites prévues. Un hacker peut alors exécuter du code arbitraire dans l'environnement bac à sable du navigateur. La faille a été signalée le 29 janvier par le chercheur Chaoyuan Peng (@ret2happy).
La seconde vulnérabilité, CVE-2026-1861, se situe dans libvpx, la bibliothèque de référence utilisée pour les formats de compression vidéo VP8 et VP9. Il s'agit d'un dépassement de tampon. Cela se produit lorsqu'un processus tente d'écrire davantage de données qu'un buffer mémoire de taille fixe ne peut en contenir. Un attaquant peut intégrer un flux vidéo malformé dans une page web : lorsque Chrome tente de décoder cette vidéo avec libvpx, le dépassement corrompt la mémoire adjacente. Ce type d'exploitation entraîne généralement un plantage du navigateur, mais peut également faire partie d'une chaine d'attaque avec d'autres techniques pour permettre une exécution de code. Cette faille a été détectée par les équipes internes de Google.
Google n'a pas précisé si ces vulnérabilités sont actuellement exploitées. L'éditeur maintient les détails techniques confidentiels jusqu'à ce que la majorité des utilisateurs ait appliqué la mise à jour.
Pour vérifier que votre navigateur est bien à jour, rendez-vous dans Menu > Aide > À propos de Google Chrome. Le navigateur vérifiera automatiquement la disponibilité de la mise à jour et demandera un redémarrage pour appliquer le correctif. Les autres navigateurs basés sur Chromium, comme Brave, Opera, Vivaldi ou Edge sont également concernés et devraient aussi recevoir une mise à jour.
