Google corrige deux failles zero-day exploitées dans Chrome, mettez votre navigateur à jour

Google vient de déployer une mise à jour d’urgence pour patcher deux failles zero-day activement exploitées, qui touchent notamment le moteur JavaScript et la bibliothèque graphique utilisée par le navigateur.

Google a publié une mise à jour de sécurité urgente pour Chrome afin de corriger deux vulnérabilités sévères, déjà exploitées dans des attaques. Les failles, identifiées sous les références CVE-2026-3909 et CVE-2026-3910, affectent respectivement la bibliothèque graphique Skia et le moteur JavaScript V8. Les correctifs sont intégrés aux nouvelles versions du navigateur déployées sur Windows, macOS et Linux. Comme souvent dans ce type de situation, Google indique que les détails techniques restent volontairement limités afin de laisser le temps au correctif de se diffuser chez la majorité des utilisateurs et utilisatrices.

Deux failles importantes dans le moteur graphique et le moteur JavaScript

La première vulnérabilité, CVE-2026-3909 (CVSS 8.8), provient d’un problème d’écriture hors limites dans Skia, une bibliothèque graphique open source utilisée par Chrome pour afficher les pages web et les éléments de l’interface. Dans ce cas, le logiciel écrit des données en dehors de la zone mémoire prévue. Une page web spécialement conçue peut alors provoquer un plantage du navigateur ou, dans certains cas, permettre l’exécution de code malveillant sur la machine de la victime.

La seconde faille, CVE-2026-3910 (CVSS 8.8), concerne V8, le moteur chargé d’exécuter JavaScript et WebAssembly dans Chrome. Google décrit cette vulnérabilité comme une erreur d’implémentation du moteur. Même si les détails restent limités pour l’instant, ce type de bug peut permettre à un attaquant de contourner certaines protections du navigateur et d’exécuter du code arbitraire.

Les correctifs ont été intégrés aux versions 146.0.7680.75 pour Windows et Linux, et 146.0.7680.76 pour macOS. Google précise que la mise à jour peut mettre quelques jours à atteindre l’ensemble des utilisateurs et utilisatrices, même si elle est déjà disponible via la vérification manuelle des mises à jour du navigateur.

À noter que ces deux failles constituent les deuxième et troisième vulnérabilités zero-day corrigées dans Chrome depuis le début de l’année 2026. La première, découverte en février, concernait une erreur dans l’implémentation de certaines fonctions CSS.

Plus de 17 millions de dollars versés aux chercheurs en sécurité en 2025

Cette nouvelle série de correctifs s’inscrit dans un travail plus large de détection des vulnérabilités. Google s’appuie depuis plusieurs années sur un programme de récompenses destiné aux chercheurs et chercheuses en sécurité qui signalent des failles dans ses produits.

En 2025, l’entreprise indique avoir versé 17,1 millions de dollars à 747 spécialistes de la sécurité dans le cadre de son Vulnerability Reward Program. Depuis la création de ce dispositif en 2010, les primes cumulées dépassent désormais 81,6 millions de dollars.

Plusieurs initiatives couvrent aujourd’hui les différents produits de l’entreprise. Côté navigateur, Chrome a donné lieu à plus de 3,7 millions de dollars de récompenses versées à un peu plus d’une centaine de chercheurs et chercheuses. Les vulnérabilités signalées sur Android et les appareils Google ont pour leur part représenté près de 2,9 millions de dollars, tandis qu’environ 3,5 millions de dollars ont été distribués dans le cadre du programme consacré aux services cloud.

Google indique également avoir fait évoluer ce dispositif l’an dernier afin de suivre l’arrivée de nouveaux types de vulnérabilités. L’entreprise a notamment lancé un programme de récompenses dédié aux failles touchant ses systèmes d’intelligence artificielle, et ajouté de nouvelles catégories de primes pour les bugs liés à l’IA dans Chrome.

Au fil des ans, ce programme est devenu l’un des principaux canaux par lesquels Google identifie des vulnérabilités dans ses produits. Une collaboration devenue presque incontournable dans un environnement où les failles continuent d’apparaître au rythme des nouvelles fonctionnalités.

Sources : Google [1], Google [2]