Deux vulnérabilités de sécurité classées comme critiques viennent d’être corrigées dans Google Chrome. Détectées début février, elles exposaient les utilisateurs à des risques majeurs, allant du simple plantage du navigateur à l’exécution de code malveillant à distance. Selon Google, l’exploitation de ces failles ne nécessitait qu’une action minimale, la visite d’un site piégé suffisant à déclencher une attaque.
Ces failles concernent des composants centraux du navigateur, ce qui explique leur niveau de gravité élevé. Dans un contexte de multiplication des cyberattaques ciblant les navigateurs web, Google a déployé un correctif de sécurité et appelle les utilisateurs à installer la mise à jour sans délai.
La première vulnérabilité se situe dans V8, le moteur JavaScript de Chrome. Ce composant est chargé d’exécuter l’ensemble du code JavaScript présent sur les sites web, devenus omniprésents. En raison d’un défaut dans la gestion de la mémoire, le navigateur pouvait interpréter de manière incorrecte certains types de données. Un attaquant était alors en mesure de forcer Chrome à lire ou écrire en dehors des zones normalement autorisées, ouvrant la voie à une exécution de code arbitraire dans l’environnement sécurisé du navigateur.
V8 est régulièrement ciblé par les chercheurs en sécurité comme par les cybercriminels, précisément parce qu’il traite en continu du code provenant de sources externes. Une faille à ce niveau permet potentiellement de compromettre l’intégrité du navigateur, voire d’accéder à des données sensibles de l’utilisateur.
Une vulnérabilité vidéo aux effets tout aussi dangereux
La seconde faille concerne la bibliothèque libvpx, utilisée par Chrome pour le décodage de certains formats vidéo. En exploitant une vidéo spécialement conçue, un attaquant pouvait provoquer un dépassement de mémoire, entraînant une corruption interne du programme. Concrètement, Chrome pouvait être amené à écrire des données à des emplacements non prévus, ce qui se traduisait par un crash du navigateur, voire par l’exécution de code malveillant dans certains scénarios.
Google n’a pas précisé si ces vulnérabilités avaient déjà été exploitées activement. Comme c’est l’usage, les détails techniques restent volontairement limités tant que la majorité des utilisateurs n’a pas appliqué les correctifs, afin de réduire le risque d’attaques opportunistes. Pour neutraliser ces failles, Google a déployé une nouvelle version de Chrome. Le déploiement est progressif, mais les utilisateurs sont invités à vérifier manuellement la disponibilité de la mise à jour.
L’installation s’effectue via le menu « À propos de Google Chrome », qui déclenche automatiquement le téléchargement du correctif. Un redémarrage du navigateur est ensuite nécessaire pour finaliser la protection. Google recommande également d’activer les mises à jour automatiques afin de limiter l’exposition à ce type de menaces à l’avenir. Dans un contexte où le navigateur constitue l’une des principales portes d’entrée des cyberattaques, cette mise à jour s’impose comme une mesure de sécurité immédiate.
