Google vient de corriger un bug sur Chrome qui rend vos données vulnérables

Dans un communiqué de presse, Google a annoncé le déploiement de la version 141.0.7390.65/.66 de Chrome pour Windows et macOS, et 141.0.7390.65 pour Linux. La mise à jour corrige plusieurs bugs et problèmes de performance, mais surtout, elle corrige trois vulnérabilités de sécurité liées à la gestion de la mémoire de Chrome, dont deux sont classées à haut risque.

• Lisez aussi : Google a corrigé une faille critique dans Chrome qui expose les mots de passe

Les failles dangereuses de Chrome

La faille la plus dangereuse est CVE-2025-11458, une vulnérabilité de débordement de tas dans le composant Sync de Chrome. Ce bug de corruption de mémoire permet aux attaquants de faire planter le navigateur ou d’exécuter du code arbitraire, ce qui peut permettre d’installer des logiciels espions, de voler des identifiants ou de prendre le contrôle du comportement du navigateur.

Un scénario suppose qu’un utilisateur visite un site web compromis qui envoie silencieusement des données de synchronisation surchargées à Chrome. Les attaquants peuvent exécuter des actions malveillantes sans avoir besoin d’autorisations d’accès de haut rang, et ce à l’insu total de l’utilisateur.

Google a remercié le chercheur en sécurité Raven de Kunlun Lab d’avoir signalé le problème et lui a accordé une prime de 5 000 dollars dans le cadre de son programme de récompense en cas de découverte de vulnérabilités.

Haut CVE-2025-11458 : Débordement de tas dans Sync. Signalé par raven à KunLun lab le 2025-09-05

Forte CVE-2025-11460 : Erreur de type « use-after-free » dans Stockage. Signalé par Sombra le 2025-09-23

Moyen CVE-2025-11211 : Lecture hors limites dans WebCodecs. Signalé par Jakob Košir le 2025-08-29

La seconde faille de haute sévérité, CVE-2025-11460, affecte le composant de stockage de Chrome via une vulnérabilité de type « use-after-free ». Des scripts malveillants intégrés dans des pages web peuvent corrompre la mémoire et faire planter le navigateur, là encore, sans nécessiter d’interaction de la part de l’utilisateur une fois la page chargée.

La troisième faille, CVE-2025-11211, est une vulnérabilité à risque moyen dans l’API WebCodecs de Chrome. Les attaquants peuvent l’exploiter en injectant des données vidéo malveillantes dans les sites web, faisant ainsi lire au moteur de décodage de Chrome des informations sensibles, ou en mettant en place d’autres exploits.

Malgré la moindre gravité du dernier bogue, ces trois vulnérabilités partagent une caractéristique dangereuse : elles ne nécessitent aucune interaction de la part de l’utilisateur ni aucune élévation de privilèges, ce qui en fait des cibles de choix pour les attaques de type « drive-by » et les publicités malveillantes.

Google n’a pas indiqué si ces vulnérabilités ont été exploitées dans la nature.

Mesures à prendre pour protéger vos données

Les utilisateurs sont vivement encouragés à mettre à jour Chrome dès que la nouvelle version est disponible. Même si le correctif est appliqué, il est essentiel de rester vigilant lorsque vous parcourez l’internet, en particulier lorsqu’il s’agit d’identifier les sites suspects, d’éviter les extensions douteuses et de se tenir à l’écart des téléchargements non vérifiés. Moins les attaquants ont besoin d’interaction, plus nous devons être proactifs.

• Voir l’offre (128GB – nouveau)

Quelles autres mesures prenez-vous pour protéger vos données en ligne ? Nous aimerions savoir ce que vous en pensez.