La dernière mise à jour de sécurité de Google Chrome corrige une faille très grave activement exploitée par les hackers

Un bug dans CSS qui permet à un attaquant distant d'exécuter du code arbitraire

La dernière mise à jour de sécurité de Google Chrome corrige une faille très grave activement exploitée par les hackers, un bug dans CSS qui permet à un attaquant distant d'exécuter du code arbitraire

Google a déployé une mise à jour de sécurité critique pour corriger une vulnérabilité très grave de Chrome, qui était activement exploitée par des pirates informatiques. Découverte par le chercheur en sécurité Shaheen Fazil, cette faille exploite un bug « use-after-free » dans CSS, permettant aux hackers d'exécuter du code arbitraire via une page HTML spécialement conçue, et ainsi de prendre le contrôle de certaines parties du navigateur. Les utilisateurs de Chrome sont invités à mettre à jour leur navigateur vers la dernière version afin de protéger leur système. Des mises à jour similaires sont également attendues pour les autres navigateurs basés sur Chromium.

Google Chrome est un navigateur web multiplateforme développé par Google. Il a été lancé en 2008 pour Microsoft Windows, construit avec des composants logiciels libres provenant d'Apple WebKit et de Mozilla Firefox. Des versions ont ensuite été publiées pour Linux, macOS, iOS, iPadOS et Android, où il est actuellement le navigateur par défaut. Le navigateur est également le composant principal de ChromeOS, sur lequel il sert de plateforme pour les applications web.

Les feuilles de style en cascade, généralement appelées CSS de l'anglais Cascading Style Sheets, forment un langage informatique utilisé pour spécifier la présentation et le style d'un document écrit dans un langage de balisage, tel que HTML ou XML (y compris les dialectes XML tels que SVG, MathML ou XHTML). Introduit au milieu des années 1990, le CSS est une technologie fondamentale du World Wide Web, au même titre que le HTML et le JavaScript.

Google a récemment publié des mises à jour de sécurité pour son navigateur Chrome afin de corriger une vulnérabilité très grave qui est activement exploitée, a confirmé la société. Le chercheur en sécurité Shaheen Fazim a découvert et signalé cette vulnérabilité le 11 février dernier.


Cette faille de gravité élevée, référencée sous l'identifiant CVE-2026-2441 avec un score CVSS de 8,8, est un bug « use-after-free » dans CSS qui permet à un attaquant distant d'exécuter du code arbitraire dans un bac à sable via une page HTML spécialement conçue. Cela signifie qu'en raison de ce bug, les pirates peuvent tromper Chrome et lui faire exécuter du code malveillant simplement en amenant quelqu'un à ouvrir une page web spécialement conçue. L'attaquant pourrait ainsi prendre le contrôle de certaines parties du navigateur, même si Chrome dispose de protections de sécurité.

« [La faille de type] « use-after-free » de CSS dans Google Chrome avant la version 145.0.7632.75 a permis à un pirate distant d'exécuter du code arbitraire dans un bac à sable via une page HTML spécialement conçue », peut-on lire dans la description de la faille de sécurité dans la base de données nationale des vulnérabilités du NIST.

Google a reconnu qu'« un exploit pour CVE-2026-2441 existe dans la nature », mais n'a pas divulgué de détails sur la manière dont la vulnérabilité est exploitée, qui est à l'origine des attaques ou quelles cibles ont été touchées. Le correctif est disponible dans la version 145.0.7632.75 et les versions ultérieures de Chrome.

Les utilisateurs de Google Chrome doivent mettre à jour leur navigateur vers la dernière version

Il est recommandé aux utilisateurs de mettre à jour leur navigateur Chrome vers la version 145.0.7632.75/76 pour Windows et macOS, et 144.0.7559.75 pour Linux afin d'assurer leur protection. Les utilisateurs peuvent se rendre dans Plus > Aide > À propos de Google Chrome et sélectionner Redémarrer pour s'assurer que les dernières mises à jour sont installées.

Il est également conseillé aux utilisateurs d'autres navigateurs basés sur Chromium, tels que Microsoft Edge, Brave, Opera et Vivaldi, d'appliquer les correctifs dès qu'ils seront disponibles.

Au fil du temps, Google Chrome a été confronté à de multiples vulnérabilités activement exploitées. Cette évolution souligne que les failles des navigateurs restent une cible privilégiée pour les acteurs malveillants, car les navigateurs sont installés sur de nombreux systèmes et présentent une large surface d'attaque.

Outre Google, Apple a publié la semaine dernière des mises à jour pour iOS, iPadOS, macOS Ventura, tvOS, watchOS et visionOS. Ces mises à jour corrigent une faille zero-day (CVE-2026-20700, score CVSS : 7,8) qui avait été exploitée pour exécuter du code arbitraire sur des appareils vulnérables dans le cadre d'une attaque ciblée contre des personnes spécifiques utilisant des appareils iOS sur des versions antérieures à iOS 26.

Si cette vulnérabilité critique rappelle l’étendue de la surface d’attaque des navigateurs modernes, d’autres incidents récents soulignent également les risques systémiques liés à l’écosystème Chrome.

Un chercheur en sécurité a récemment révélé qu'un ensemble de 287 extensions disponibles sur le Chrome Web Store exfiltrait massivement l'historique de navigation de 37,4 millions d'utilisateurs vers plus de 30 entités, dont des courtiers en données tels que SimilarWeb, Semrush et Big Star Labs. Selon le rapport publié par le chercheur anonyme « Q Continuum », ces extensions, souvent présentées comme des gestionnaires de mots de passe, des bloqueurs de publicités ou des outils de productivité, collectaient l’intégralité de l’historique de navigation, parfois à l’insu des utilisateurs. Pour environ 20 millions d'installations, l'identité des destinataires des données demeure inconnue. Cette affaire, qui survient deux mois après la découverte d'une campagne ayant piégé 4,3 millions d'utilisateurs via des extensions dites « légitimes », relance le débat sur la monétisation opaque des extensions et sur les limites du contrôle exercé par Google sur son propre magasin d'extensions.

Source : Enregistrement CVE de la faille dans Google Chrome (NIST)

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous cette initiative de Google crédible ou pertinente ?

Voir aussi :

Google Chrome est apparemment truffé de problèmes de sécurité, au moins 303 vulnérabilités auraient déjà été découvertes dans le navigateur Web de Google en 2022

Chrome : 3133,7 dollars si vous découvrez une faille majeure dans le navigateur, Google surenchérit de 133 dollars sur Mozilla

Kaspersky a découvert une faille zero-day utilisée pour lancer des attaques via Google Chrome, les internautes sont invités à effectuer une mise à jour de leur navigateur