À peine quelques jours après une mise à jour de sécurité déjà bien chargée, Google récidive pour patcher huit nouvelles vulnérabilités dans Chrome. Toutes sont classées à haut risque, et plusieurs touchent des composants sensibles du navigateur.
Nouvelle retouche de sécurité pour Chrome 146. Google vient en effet de déployer une mise à jour importante de son navigateur sur Windows, macOS et Linux, destinée à patcher pas moins de huit vulnérabilités, toutes de gravité élevée. Une update diffusée une semaine seulement après une précédente salve de correctifs autrement plus importants, censés colmater près d’une trentaine de failles, parmi lesquelles trois considérées comme critiques.
Des vulnérabilités à haut risque dans plusieurs fonctions de Chrome
Dans le détail, la liste publiée par Google renvoie surtout à plusieurs catégories classiques de vulnérabilités, repérées dans des parties très différentes de Chrome, du traitement audio aux fonctions d’authentification, en passant par le rendu graphique, l’affichage des pages et les polices de caractères.
On y trouve d’abord deux failles de type heap buffer overflow, relevées dans WebAudio (CVE-2026-4673) et dans WebGL (CVE-2026-4675), qui surviennent lorsqu’un composant écrit plus de données qu’il ne devrait dans une zone de mémoire dynamique (le « heap »), empiétant ainsi sur des données voisines. Selon la manière dont elles se manifestent ou sont exploitées, elles peuvent provoquer des plantages, perturber l’exécution normale du navigateur et, dans les cas les plus sérieux, permettre l’exécution de code arbitraire.
S’y ajoutent deux vulnérabilités de lecture hors limites dans CSS (CVE-2026-4674) et WebAudio (CVE-2026-4677), résultant d’un accès à des données situées au-delà de la zone mémoire que le composant était censé lire. Ce type d’erreur ne provoque pas nécessairement un comportement visible immédiatement, mais il peut entraîner des dysfonctionnements, exposer des informations en mémoire et, dans certains contextes, faciliter une exploitation plus poussée.
Google mentionne aussi trois failles de type use after free dans Dawn (CVE-2026-4676), WebGPU (CVE-2026-4678) et FedCM (CVE-2026-4680), c’est-à-dire des erreurs liées à l’utilisation d’une ressource mémoire après sa libération. Le composant continue ainsi de s’appuyer sur une zone qu’il considère encore comme valide alors qu’elle ne l’est plus, ce qui peut, là encore, entraîner des plantages, des comportements imprévus du navigateur, voire permettre des exécutions de code malveillant.
Le dernier cas recensé, CVE-2026-4679, concerne un integer overflow dans Fonts (CVE-2026-4679), autrement dit un calcul qui dépasse la capacité prévue pour stocker sa valeur, au risque de fausser ensuite le traitement de certaines données et de compromettre la stabilité du navigateur.
Une mise à jour à installer sans trop tarder
Pour l’heure, Google ne donne que très peu de détails sur ces huit failles, mais elles ne feraient a priori pas l’objet d’exploitation active. Le correctif est en cours de déploiement avec les versions 146.0.7680.164 et 146.0.7680.165 sur Windows et macOS, et 146.0.7680.164 sur Linux. Comme souvent avec Chrome, la diffusion doit se faire automatiquement au fil des prochains jours.
Ce nouveau patch mérite d’autant moins d’être remis à plus tard qu’il arrive dans le sillage d’une précédente mise à jour bien plus dense. Le 18 mars dernier, Google a en effet diffusé Chrome 146.0.7680.153 et .154 sur Windows et macOS, et 146.0.7680.153 sur Linux, pour corriger un total de 26 vulnérabilités, parmi lesquelles trois classées critiques. Les plus sévères concernaient deux failles dans WebGL, avec un accès mémoire hors limites (CVE-2026-4439) et une lecture et écriture hors limites (CVE-2026-4440), ainsi qu’un use after free dans Base (CVE-2026-4441).
Bref, si vous n’aviez pas encore installé la précédente fournée de correctifs, vous n’avez plus d’excuse pour vous y soustraire.
Source : Google
- Vitesse de navigation imbattable
- Écosystème d'extensions très riche
- Synchronisation multi-appareils fluide
