Name: Tremplin Numérique
Price range: $$$

Google a corrigé une vulnérabilité Zero Day de haute gravité dans Chrome qui était activement exploitée. La faille, identifiée comme CVE‑2026‑2441, est un bug « à utiliser après une utilisation gratuite » dans le composant CSS du navigateur.

Un bug « utilisation après libération (UAF) » se produit lorsqu'un programme continue d'accéder à la mémoire après qu'elle ait déjà été libérée ou désallouée.

En termes simples, c'est comme quitter une chambre d'hôtel tout en utilisant la clé pour entrer et sortir. Cet espace mémoire peut désormais être réutilisé par autre chose, et les attaquants peuvent exploiter cette confusion pour corrompre les données, faire planter le programme ou même exécuter du code malveillant. Les navigateurs comme Chrome, écrits dans des langages non sécurisés en mémoire comme le C++, sont particulièrement vulnérables à ce type de faille.

Selon Google, le bug permettait aux attaquants d'exécuter du code arbitraire dans le bac à sable de Chrome simplement en incitant les utilisateurs à ouvrir une page HTML contrefaite. Avec un score de gravité de 8,3 sur 10, le problème se classe parmi les vulnérabilités les plus dangereuses corrigées jusqu'à présent cette année.

Le correctif est inclus dans les versions Chrome 145.0.7632.75/76 pour Windows et macOS, et 144.0.7559.75 pour Linux.

Si vous n'avez pas désactivé les mises à jour automatiques, le redémarrage de Chrome devrait suffire pour appliquer le correctif. Pour ceux qui gèrent les mises à jour manuellement, vous pouvez vérifier en cliquant sur les trois points dans le coin supérieur droit, en accédant à Aide > À propos de Google Chromeet laissez le navigateur télécharger la dernière version.

Google a confirmé que des exploits pour CVE‑2026‑2441 circulaient déjà. Cependant, la société a caché les détails sur les victimes, les méthodes d'attaque ou les acteurs de la menace jusqu'à ce que davantage d'utilisateurs aient effectué la mise à jour, afin d'empêcher les attaques par copie.

Il s’agit du premier correctif Zero Day de 2026. Pour le contexte, un correctif Zero Day est un correctif d’urgence appliqué en dehors du calendrier régulier de mise à jour et de maintenance. L’année dernière, Google a corrigé huit failles Zero Day dans Chrome, dont beaucoup étaient liées à des groupes parrainés par l’État. La réponse rapide de l'entreprise souligne à quel point la sécurité du navigateur est devenue critique, d'autant plus que Chrome reste le navigateur le plus utilisé au monde.

Un conseil à la fin de la lecture de cet article : mettez à jour maintenant. Même si vous ne remarquez rien d'inhabituel, l'exécution d'une version obsolète de Chrome vous expose à des attaques potentielles. Étant donné que l’exploit nécessite uniquement la visite d’une page Web malveillante, le risque est important.

Les chercheurs en sécurité soulignent que les vulnérabilités Zero Day des navigateurs comptent parmi les outils les plus précieux pour les attaquants, car elles peuvent être déployées silencieusement et à grande échelle.