Moins d’une semaine après le déploiement de Chrome 145, Google vient tout juste de publier un patch hors cycle. En cause, une nouvelle vulnérabilité zero-day, activement exploitée.
Mois de février chargé pour Chrome. Après deux premiers patchs visant à colmater des failles zero-day, suivis d’une seconde série de correctifs intégrés à la version 145 diffusée moins d’une semaine plus tard, Google a enchaîné avec une troisième mise à jour urgente (145.0.7632.75/76), destinée à enrayer l’exploitation active d’une vulnérabilité jugée critique. Si vous avez laissé traîner depuis le début du mois, il va sérieusement falloir penser à faire un tour dans les paramètres de mise à jour du navigateur.
Une vulnérabilité déjà entre de mauvaises mains
Dans le détail, la vulnérabilité CVE-2026-2441 (CVSS 8.8) touche le moteur de rendu chargé d’interpréter le CSS dans des versions de Chrome antérieures à la branche 145. Encore une fois, il s’agit d’une faille de type use-after-free, situation dans laquelle un objet est supprimé de la mémoire alors que le navigateur continue de s’y référer. Cet espace peut alors être réutilisé pour accueillir des données manipulées, ce qui permet de perturber l’exécution normale et, dans certains cas, d’exécuter du code à distance via une page web piégée.
Il faut ici savoir que Chrome repose sur un fonctionnement en environnements cloisonnés, ce que l’on appelle généralement la sandbox du navigateur. En clair, le code issu d’une page web s’exécute bien dans le navigateur, mais dans un processus isolé et très limité, séparé du reste du système, ce qui en limite en théorie la portée des effets directs. Malgré cela, ce type de faille constitue généralement une première étape dans des attaques plus élaborées, puisqu’elle permet de prendre pied dans le navigateur, les cybercriminels cherchant ensuite, par d’autres moyens, à sortir de cet isolement pour espionner l’activité web de la victime, voire installer des charges plus persistantes.
Comme d'habitude dans ce genre de situation critique, Google n’a publié aucun détail technique sur la méthode d’exploitation ni sur d’éventuelles cibles, mais confirme son exploitation active et en attribue la découverte au chercheur en sécurité Shaheen Fazim.
Un mois de février marqué par un volume important de correctifs
Quelques jours avant ce correctif ciblé, la publication de Chrome 145 (145.0.7632.45/46) s’accompagnait déjà d’un ensemble conséquent de patchs visant à corriger une bonne dizaine de failles, parmi lesquelles plusieurs vulnérabilités considérées comme importantes, affectant aussi bien le moteur de rendu que certains composants graphiques ou liés au traitement des contenus multimédias.
Une mise à jour mensuelle qui s’inscrivait elle-même dans la continuité de premiers correctifs diffusés début février pour Chrome 144, destinés à patcher deux vulnérabilités zero-day liées au moteur JavaScript et au décodage vidéo, qui pouvaient être exploitées pour provoquer un plantage du navigateur et, dans les cas les plus graves, permettre l’exécution de code malveillant.
Sources : Google [1], Google [2]
