Google a déployé la version 148 de Chrome sur Windows, Mac et Linux. Cette nouvelle mouture corrige pas moins de 127 vulnérabilités de sécurité - dont trois classées critiques. La firme californienne a distribué plus de 100 000 dollars de primes aux chercheurs ayant contribué à leur découverte.
Quelques semaines après avoir corrigé 8 failles à haut risque dans Chrome 146 fin mars, Google revient avec un correctif d'une tout autre ampleur. Chrome 148 (148.0.7778.96 pour Linux, 148.0.7778.96/97 pour Windows et Mac) colmate 127 brèches de sécurité, dont certaines exposaient les utilisateurs à une prise de contrôle partielle du navigateur depuis une page web ordinaire.
Trois failles critiques ciblant le moteur de rendu et l'accès à distance
Les trois de ces vulnérabilités ont été classées critiques. La première, CVE-2026-7896, est un débordement d'entier dans Blink, le moteur de rendu de Chrome - autrement dit le composant chargé d'interpréter et d'afficher le contenu d'une page web. Elle a valu 43 000 dollars à son découvreur. Les deux autres, CVE-2026-7897 et CVE-2026-7898, sont des failles de type "use-after-free", localisées respectivement dans le composant Mobile et dans Chromoting, le module de bureau à distance de Chrome. Ce type de brèche se produit lorsqu'un programme continue d'utiliser une zone mémoire après l'avoir libérée. Un attaquant peut alors y injecter des données malveillantes et, dans certaines conditions, exécuter du code arbitraire sur la machine ciblée. Ces deux dernières ont été identifiées en interne par les équipes de Google.
Parmi les failles de gravité élevée, plusieurs concernent V8, le moteur JavaScript de Chrome. CVE-2026-7899, un accès mémoire en lecture et écriture hors limites dans V8, a été récompensé à hauteur de 55 000 dollars. CVE-2026-7902, également dans V8, a rapporté 8 000 dollars à un chercheur du KAIST Hacking Lab. Deux autres failles touchent ANGLE, la couche d'abstraction graphique de Chrome, chacune récompensée à hauteur de 16 000 dollars. Ces vulnérabilités dans V8 et ANGLE exposaient à une exploitation via de simples pages web frauduleuses, sans aucune installation préalable requise de la part de l'utilisateur.
Au-delà de ces composants centraux, Chrome 148 adresse une série de failles supplémentaires réparties dans des modules très variés : SVG, DOM, GPU, WebRTC, Skia, ServiceWorker, WebAudio ou encore les API de présentation et la gestion des mots de passe. Les vulnérabilités de gravité moyenne incluent notamment une confusion de types dans WebRTC et un problème de cycle de vie des objets dans V8. Une faille de gravité faible pouvait permettre à un attaquant distant de récupérer des données issues d'un domaine tiers en incitant l'utilisateur à réaliser certaines manipulations dans l'interface du navigateur.
Pour identifier ces vulnérabilités, Google s'est appuyé sur des outils de détection automatisée. AddressSanitizer et MemorySanitizer ont permis de repérer les corruptions mémoire, UndefinedBehaviorSanitizer détecte les comportements anormaux du code, tandis que libFuzzer et AFL, sont chargés de soumettre le logiciel à des données aléatoires pour provoquer des comportements inattendus.
La plupart de ces failles corrigées bénéficieront aux autres navigateurs articulés autour de Chromium comme Brave, Opera, Vivaldi ou Microsoft Edge. La prochaine version de Google Chrome est prévue pour le 2 juin 2026.
- Vitesse de navigation imbattable
- Écosystème d'extensions très riche
- Synchronisation multi-appareils fluide
