Chrome reçoit une mise à jour de sécurité importante sur Windows, macOS et Linux. Elle corrige 74 vulnérabilités, parmi lesquelles une faille déjà exploitée touchant le moteur JavaScript du navigateur.
Google vient de déployer une mise à jour de sécurité importante pour Chrome sur Windows, macOS et Linux. Au total, 74 vulnérabilités ont été corrigées, parmi lesquelles plusieurs failles critiques et une zero-day déjà exploitée dans la nature. Référencée CVE-2026-11645, cette dernière affecte V8, le moteur JavaScript du navigateur, et impose de relancer Chrome sans trop attendre.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Un patch conséquent à ne pas laisser traîner
D’après le peu de détails communiqués dans son bulletin, Google décrit CVE-2026-11645 comme une vulnérabilité d’accès mémoire hors limites dans V8. Dit plus clairement, Chrome peut être amené à lire ou manipuler des données situées en dehors de la zone mémoire prévue. Dans le meilleur des cas, ce type d’erreur peut provoquer le plantage du navigateur. Dans le pire, elle peut permettre l’exécution de code dans Chrome à partir d’une page web piégée, puis servir de première étape à une attaque plus large si elle est combinée à une autre faille.
Google ne s’est pas davantage étendu sur les conditions d’exploitation de cette faille, afin de laisser le temps au correctif d’atteindre un nombre suffisant de machines. L’entreprise a en revanche confirmé qu’un exploit existait déjà dans la nature, ce qui doit vous inciter à installer rapidement la mise à jour.
Cette mise à jour corrige aussi 73 autres failles, dont plusieurs vulnérabilités critiques. La plupart relèvent de problèmes de gestion mémoire, notamment des failles de type use-after-free, qui peuvent survenir lorsqu’un programme continue d’utiliser une zone mémoire après l’avoir libérée. Elles affectent des composants très variés de Chrome, de l’interface du navigateur à la gestion du Bluetooth, des manettes, de l’impression ou du remplissage automatique des formulaires.
La mise à jour doit être proposée automatiquement par Chrome, mais son installation ne sera finalisée qu’après redémarrage du navigateur. Vous pouvez vérifier sa disponibilité depuis les paramètres, dans le menu À propos de Chrome, puis relancer le navigateur une fois le correctif téléchargé.
- Vitesse de navigation imbattable
- Écosystème d'extensions très riche
- Synchronisation multi-appareils fluide
Un accès mémoire hors limites survient quand le logiciel lit ou écrit en dehors du “tampon” (buffer) prévu, à cause d’une erreur de gestion des tailles ou des index. Dans un moteur JavaScript, ces opérations sont particulièrement sensibles car le code web manipule beaucoup d’objets et de tableaux, souvent optimisés par compilation JIT. Selon le contexte, le bug peut se limiter à un plantage, ou permettre de corrompre la mémoire du processus du navigateur. Cette corruption peut parfois être transformée en exécution de code, ce qui ouvre la porte à une prise de contrôle du navigateur via une page web malveillante.
Que signifie « zero-day exploitée dans la nature » pour une faille CVE comme CVE-2026-11645 ?Une zero-day est une vulnérabilité pour laquelle aucun correctif n’était disponible au moment où elle a commencé à être exploitée. « Exploitée dans la nature » indique qu’il existe des attaques réelles observées (pas seulement une preuve de concept en labo). Le numéro CVE sert d’identifiant public unique pour suivre la faille, les versions affectées et les correctifs. Dans ce contexte, le risque est plus élevé car les attaquants ont déjà une chaîne d’exploitation fonctionnelle. C’est aussi la raison pour laquelle les éditeurs publient souvent peu de détails techniques avant que le patch ne soit largement déployé.
En quoi une faille « use-after-free » est-elle dangereuse dans un navigateur moderne ?Un use-after-free se produit quand un programme réutilise une zone mémoire après l’avoir libérée, donc alors qu’elle peut avoir été réallouée à autre chose. Dans un navigateur, ce type de bug peut provoquer des comportements imprévisibles, des crashs, ou une corruption contrôlable de la mémoire. Si un attaquant parvient à façonner l’état de la mémoire (via du contenu web, des API ou des formats traités par Chrome), il peut parfois détourner l’exécution. Ces vulnérabilités sont fréquentes dans des composants complexes en C/C++ et font partie des classes de bugs régulièrement ciblées pour obtenir une exécution de code à distance.
