Navigateur Chrome : des pirates exploitent une nouvelle faille de sécurité

Google déploie des mises à jour pour les utilisateurs de Chrome dans le monde entier afin de remédier à une faille de sécurité qui serait exploitée par des acteurs de la menace.

« Le canal Stable a été mis à jour vers 138.0.7204.157/.158 pour Windows, Mac et 138.0.7204.157 pour Linux qui sera déployé dans les jours/semaines à venir », peut-on lire dans la dernière entrée du blog Google Chrome Releases. "Une liste complète des modifications apportées à cette version est disponible dans le journal.

La mise à jour comprend six correctifs de sécurité, certains plus sérieux que d'autres. L'une d'entre elles aurait été exploitée et des acteurs de la menace l'auraient probablement utilisée pour compromettre des cibles.

“Incorrect validation”

La faille la plus grave, répertoriée sous le nom de CVE-2025-6558, est décrite comme une « validation incorrecte d'une entrée non fiable dans ANGLE et GPU ».

La validation incorrecte d'une entrée non fiable se produit lorsque le système ne vérifie pas correctement les sources externes. L'erreur peut conduire à des vulnérabilités que les attaquants peuvent exploiter pour accéder à des parties plus profondes du système et exécuter du code malveillant.

Signalée le mois dernier par Clément Lecigne et Vlad Stolyarov du Threat Analysis Group de Google, cette faille aurait été exploitée dans la nature, ce qui signifie que des criminels l'ont peut-être déjà utilisée.

L'avis mentionne :

Google est conscient qu'un exploit pour CVE-2025-6558 existe dans la nature.

Selon la base de données nationale des vulnérabilités du NIST, « une validation insuffisante des entrées non fiables dans ANGLE et GPU dans Google Chrome avant la version 138.0.7204.157 a permis à un attaquant distant d'effectuer potentiellement une évasion du bac à sable via une page HTML conçue. »

Des vulnérabilités non corrigées dans Chrome, le navigateur web le plus utilisé au monde, ont été exploitées pour mener des attaques de logiciels espions.

Google estime que la gravité du bogue est « élevée ».

Accès restreint aux détails du bogue

Comme à son habitude, Google ne dévoile pas les détails techniques afin de tenir à distance les exploits opportunistes.

« L'accès aux détails des bogues et aux liens peut être restreint jusqu'à ce qu'une majorité d'utilisateurs soit mise à jour avec un correctif », indique le titan de la recherche. "Nous maintiendrons également des restrictions si le bogue existe dans une bibliothèque tierce dont dépendent d'autres projets, mais qui n'a pas encore été corrigée.

Google a corrigé des failles similaires dans Chrome cette année, notamment :

• une faille qui pouvait être exploitée pour prendre le contrôle de comptes
• un problème de « GPU » exploité dans la version macOS de Chrome
• une vulnérabilité qui aurait été exploitée dans le cadre d'une campagne d'espionnage.

Mettez votre navigateur à jour !

Aujourd'hui, les utilisateurs du navigateur sous Windows devraient être sur Chrome version 138.0.7204.169

Même si vous ne vous considérez pas comme une cible pour les pirates, Bitdefender vous recommande de déployer les dernières mises à jour pour tous vos appareils personnels dès qu'elles sont disponibles, en particulier lorsque l'éditeur estime que le niveau de risque est élevé - et encore plus si les problèmes peuvent être exploités dans la nature.

La version de bureau de Chrome vérifie automatiquement la présence de la dernière version à chaque redémarrage. Si vous n'avez pas fermé Chrome depuis un certain temps, vous pouvez lancer le processus manuellement. Rendez-vous dans le menu d'options à trois points, choisissez Paramètres -> À propos de Chrome et laissez le navigateur aller chercher la dernière version sur les serveurs de Google. Lorsque vous y êtes invité, relancez Chrome.

Les utilisateurs d'iPhone ne sont pas concernés par le problème exploitable décrit ci-dessus. Avec cette mise à jour, Google maintient le changement de version au même niveau que les habituelles « améliorations de la stabilité et des performances » pour les utilisateurs de Chrome sur iOS.

Les utilisateurs d'Android, cependant, pourraient vouloir mettre à jour plus tôt.

Comme le mentionnent régulièrement les avis de sécurité de Google, la version Android de Chrome bénéficie généralement des mêmes correctifs de sécurité que la version de bureau du navigateur web - sauf indication contraire de Google. Pour mettre à jour Chrome sur votre appareil Android, visitez le Google Play Store et téléchargez la dernière version.

Pour une plus grande tranquillité d'esprit, envisagez de mettre en place une solution de sécurité sur tous vos appareils, y compris votre téléphone.