Google renforce une nouvelle fois la sécurité de son navigateur Chrome avec une mise à jour corrigeant deux failles majeures. Ces vulnérabilités, classées à haut risque, visent des composants essentiels du navigateur, dont le moteur JavaScript V8, déjà ciblé récemment. Une réactivité qui souligne l’importance de maintenir son navigateur à jour pour se prémunir contre les attaques potentielles.
Faille de sécurité dans V8 : Chrome corrige un dépassement d’entier
La première vulnérabilité, identifiée sous la référence CVE-2025-6191, touche le moteur JavaScript V8 de Chrome. Ce moteur est chargé de l’exécution du code présent sur les pages web. Ici, la faille repose sur un dépassement d’entier, une erreur de calcul produisant une valeur trop grande pour être correctement gérée en mémoire.
Entretien d'embauche : connaissez-vous le test du sel et poivre ?
Lors d’un entretien d’embauche, chaque détail compte, même du sel ou du poivre posé sur la table. On vous explique en quoi ça consiste, et comment le réussir.
Lire l'articleCe type de défaillance peut perturber le fonctionnement de la mémoire du navigateur, en faussant le calcul de tailles ou d’emplacements. Exploité avec précision, ce défaut peut être utilisé par un attaquant pour manipuler des zones mémoire non autorisées. Cela ouvre la voie à une possible exécution de code malveillant, en contournant les protections intégrées de Chrome.
La faille a été signalée à Google fin mai, ce qui a permis une réaction rapide via une mise à jour désormais disponible pour les utilisateurs.
Bug use-after-free : une faille dans le composant Profiler de Chrome
La seconde vulnérabilité, répertoriée CVE-2025-6192, concerne le composant Profiler de Chrome, un outil interne servant à analyser le comportement du navigateur. Le problème est ici un bug de type use-after-free, qui survient lorsque le navigateur tente d’accéder à un espace mémoire déjà libéré.
Cette erreur de gestion peut entraîner des instabilités, voire permettre à un attaquant de prendre le contrôle de cette zone mémoire. Si l’attaquant réussit à y injecter un contenu spécifique, il peut influencer le comportement du navigateur, et dans certains cas, y exécuter du code non autorisé.
Ce type de faille est connu et redouté dans les logiciels modernes, car il repose sur des mécanismes subtils liés à la libération et à la réutilisation de la mémoire.
Pourquoi V8 reste un point sensible pour la sécurité de Chrome ?
Le moteur V8 est régulièrement mentionné dans les bulletins de sécurité de Google. Cette récurrence ne reflète pas nécessairement une négligence, mais plutôt la complexité intrinsèque de ce composant. V8 exécute du code inconnu à grande vitesse, tout en appliquant des techniques d’optimisation dynamiques (JIT), ce qui le rend particulièrement vulnérable aux erreurs logiques et aux failles en mémoire.
Les mécanismes de sécurité, tels que l’isolation des processus ou la gestion automatique de la mémoire (garbage collection), atténuent une partie des risques. Néanmoins, certaines erreurs comme les use-after-free peuvent rester invisibles pendant longtemps avant d’être identifiées, que ce soit par des chercheurs ou des individus malveillants.
Mettre à jour immédiatement Chrome pour garantir sa sécurité
La mise à jour déployée par Google correspond à la version 137.0.7151.119/.120 de Chrome, disponible depuis le 17 juin. Elle corrige les deux failles mentionnées, ainsi qu’un troisième correctif de sécurité dont les détails n’ont pas encore été rendus publics.
Aucune des deux vulnérabilités corrigées ici ne semble avoir été exploitée dans des attaques réelles, contrairement à la faille critique patchée en urgence au début du mois. Cela renforce néanmoins la nécessité de vérifier régulièrement les mises à jour, en se rendant dans Paramètres > Aide > À propos de Google Chrome.
Maintenir son navigateur à jour est une mesure simple, mais indispensable, pour éviter de laisser une porte ouverte aux attaques exploitant ces failles complexes.