Google corrige une faille zero day exploitée dans Chrome

Activement exploitée, une vulnérabilité découverte dans le navigateur web de Google donne la possibilité à des pirates d'en prendre à distance le contrôle. Une mise à jour est à appliquer dès que possible.

Chrome ouvre l’année 2026 avec sa première faille zero day. Google a en effet détecté une dernière vulnérabilité de sécurité affectant le fonctionnement de son navigateur. L’éditeur a rapidement publié un bulletin afin d’alerter les utilisateurs sur cette brèche importante. « Google est conscient qu’un exploit de la CVE-2026-2441 existe dans la nature », peut-on lire dans l'alerte de l'éditeur. Cette communication intervient après le déploiement d’un correctif destiné à corriger une faille de type use-after-free (liée à une utilisation incorrecte de la mémoire dynamique pendant le fonctionnement du programme) dans la gestion des feuilles de style (CSS). Concrètement, le moteur CSS du navigateur libère un espace mémoire avant d’avoir terminé de l’utiliser, créant ainsi une faille exploitable par un attaquant.

En pratique, la faille donne la possibilité à un attaquant distant d’exécuter du code arbitraire dans le sandbox simplement en incitant un utilisateur à visiter une page HTML malveillante. De gravité élevée, elle touche les versions Windows et macOS de Chrome antérieures à 145.0.7632.75/76, ainsi que les versions Linux avant 144.0.7559.75. Les détails techniques restent limités : le fournisseur indique que l’accès aux informations sur la faille pourrait être limité tant que la majorité des utilisateurs n’aura pas appliqué le correctif. Ces restrictions pourront également se maintenir si la vulnérabilité concerne une bibliothèque tierce utilisée par d’autres projets n’ayant pas encore publié de correctif.

Comment fonctionne la faille

Pour comprendre son mécanisme, Gene Moody, field CTO chez Action1, a expliqué que cet exploit libère un objet dans la zone mémoire du navigateur qui continue à être référencé dans cet emplacement mémoire devenu obsolète. Un attaquant capable de contrôler l’agencement de la mémoire (memory heap) peut alors remplacer son contenu par des données malveillantes. Comme la faille se situe dans le moteur de rendu et qu’elle est accessible via du contenu web standard, la surface d’attaque est quasiment totale. « En pratique, il peut suffire qu’un utilisateur vulnérable visite une page malveillante pour déclencher l’exploitation », ajoute-t-il.

Cette explication illustre pourquoi la recherche et l’exploitation de vulnérabilités de navigateurs constituent un outil privilégié pour les cybercriminels. Les navigateurs sont souvent un point d’entrée vers les systèmes d’entreprise et offre un accès à des données professionnelles, ainsi qu’à des informations sensibles utilisées pour l’auto-complétion des formulaires.

Recommandations pour les entreprises

En règle générale, les navigateurs activent par défaut l’installation automatique des mises à jour. Toutefois, certains RSSI ou DSI privilégient une installation manuelle pour tester la compatibilité des correctifs avec les applications métiers avant leur déploiement. Johannes Ullrich, doyen de la recherche au SANS Institute, a déclaré qu'il s'agissait simplement de la dernière faille Chrome zero day découverte et que, d'après l'historique, il en existait probablement beaucoup d'autres déjà utilisées qui n'avaient pas encore été découvertes ou corrigées. « La mise en place d’un programme solide de supervision des postes de travail peut atténuer une partie du risque », indique-t-il. Pour les administrateurs d’entreprise, Google propose Enterprise Core qui fournit des outils nécessaires pour surveiller les versions du navigateur et gérer les mises à jour, ainsi qu'une gestion centralisée des extensions. « Les extensions malveillantes constituent souvent un problème plus important que les zero day », précise-t-il.

Les navigateurs sont des logiciels extrêmement complexes, prenant en charge un grand nombre de technologies et intégrant parfois des standards anciens encore partiellement supportés. « Le code source ouvert du navigateur Chromium comprend environ 36 millions de lignes de code », rappelle-t-il. « Un projet d’une telle ampleur comporte inévitablement des vulnérabilités. Google utilise de nombreux outils automatisés pour réduire en continu leur nombre, mais les adversaires font de même et découvrent parfois des failles que Google n’a pas encore identifiées ou corrigées de manière proactive. »

Une menace toujours préoccupante

Les zero day restent des menaces sérieuses, souligne David Shipley, dirigeant du fournisseur canadien de formation à la sensibilisation à la sécurité Beauceron Security. Il est en effet trivial pour des cybercriminels d’utiliser des publicités piégées pour rediriger des victimes disposant de navigateurs vulnérables vers des sites hébergeant du code malveillant. « Dans ce cas précis, il semble qu’il ne s’agisse que d’un correctif partiel pour la vulnérabilité en cours, et Google reste assez discret sur la gravité de la faille et sur toutes les utilisations possibles au-delà du plantage du navigateur et de la corruption des données. Mais étant donné qu'il existe des exploits dans la nature et que Google affirme attendre que la majorité des utilisateurs aient installé le correctif avant d'entrer dans les détails, il y a clairement quelque chose de plus intéressant derrière tout cela. »

Selon lui, le déploiement des correctifs sur les navigateurs en entreprise reste plus complexe qu’il ne devrait l’être, impliquant souvent des outils coûteux ou des processus complexes dont ne disposent pas la plupart des petites organisations. Google fournit toutefois des recommandations détaillées à destination des administrateurs pour la gestion des mises à jour de Chrome.