Deux vulnérabilités critiques de type zero-day dans Chrome.
Google vient de publier une mise à jour d'urgence pour le navigateur Chrome afin de corriger deux failles de sécurité critiques, dont une vulnérabilité zero-day activement exploitée par des pirates informatiques.
Des experts en cybersécurité avertissent que des milliards d'utilisateurs dans le monde entier pourraient être exposés à des fuites de données sensibles, notamment les jetons de session, les cookies et les informations de connexion.
Deux vulnérabilités majeures : l’exploitation effective et la fuite de données.
La première vulnérabilité, identifiée comme CVE-2025-5419 , est apparue dans le moteur V8 – le processeur JavaScript et WebAssembly de Chrome.
Selon une annonce officielle de Google, cette vulnérabilité permet aux attaquants d'effectuer des opérations de lecture et d'écriture au-delà de la zone mémoire allouée, ouvrant ainsi la porte à l'exécution de code à distance.
En effet, un simple accès à un site web contenant le code d'exploitation permet aux pirates de prendre le contrôle de leur navigateur ou de leur appareil. Google a confirmé que cette vulnérabilité avait été exploitée avant sa divulgation publique, ce qui en fait l'une des menaces de cybersécurité les plus préoccupantes du premier semestre de cette année.
La seconde vulnérabilité, CVE-2025-4664 , concerne la manière dont les navigateurs gèrent les en-têtes HTTP et la politique de référent lors du chargement de ressources auxiliaires. D'après les chercheurs, des pirates pourraient exploiter cette faille pour collecter des informations sensibles via les URL, notamment les jetons d'accès OAuth, les identifiants de session et les paramètres contenant des données privées.
Plus inquiétant encore, ce mécanisme d'attaque peut se produire silencieusement, sans nécessiter d'action de l'utilisateur autre que l'accès à un site web infecté par un logiciel malveillant.
Alerte mondiale et réponse de Google
La réaction de Google après l'incident.
Immédiatement après la découverte des vulnérabilités, Google a publié des mises à jour de sécurité correspondantes : la version 137.0.7151.68/.69 pour Windows, Linux et macOS afin de corriger la CVE-2025-5419, et la version 136.0.7103.113/.114 pour corriger la CVE-2025-4664.
Des agences de cybersécurité telles que la CISA américaine et le CERT-In indien ont émis des avertissements urgents, exhortant les utilisateurs et les organisations à mettre à jour immédiatement leurs navigateurs Chrome afin d'éviter d'être victimes des attaques en cours.
Risques pour les utilisateurs individuels et les entreprises
Les experts en sécurité estiment que ces deux vulnérabilités pourraient être exploitées pour voler des informations personnelles, prendre le contrôle des navigateurs et même ouvrir la voie à des attaques de plus grande envergure telles que l'installation de logiciels malveillants, l'espionnage ou le chiffrement par rançongiciel.
Le temps nécessaire pour exploiter les vulnérabilités se réduisant comme peau de chagrin (de plusieurs jours à quelques heures seulement après la publication de l'information), les mises à jour logicielles effectuées en temps opportun sont cruciales.
De plus, cette vulnérabilité étant exploitée presque immédiatement après sa découverte , les attaquants peuvent diffuser des logiciels malveillants en quelques heures, exerçant une pression immense sur les systèmes qui n'ont pas eu le temps d'être mis à jour.
Moyens de prévenir et de protéger les données
Des milliards d'utilisateurs de Chrome doivent effectuer la mise à jour immédiatement.
Pour les utilisateurs individuels, il est conseillé d'accéder à la section « À propos de Google Chrome » du menu Aide afin de vérifier la version et de mettre à jour le navigateur immédiatement (Menu > Aide > À propos de Google Chrome). Après la mise à jour, il est nécessaire de redémarrer le navigateur pour que le correctif soit appliqué.
Parallèlement, les utilisateurs doivent éviter de cliquer sur des liens suspects, notamment ceux provenant de courriels, de réseaux sociaux ou de sites web non fiables.
L'utilisation de logiciels de sécurité, de filtres d'URL ou d'autres outils de navigation sécurisée est également recommandée pour minimiser les risques.
Pour les entreprises et les organisations qui doivent déployer des mises à jour automatiques de Chrome sur tous les appareils de leur réseau, surveiller l'activité d'accès au réseau pour détecter les anomalies et alerter en interne leurs employés sur les fuites de données potentielles.
Des outils de surveillance de sécurité automatisés comme Wazuh ou des solutions sandbox peuvent également être utilisés pour détecter les exploits utilisés pour exploiter les vulnérabilités.
Les vulnérabilités récemment révélées démontrent que la sécurité des navigateurs ne peut être prise à la légère, d'autant plus que Chrome est actuellement la plateforme la plus populaire au monde .
Bien que Google ait rapidement publié des correctifs, la responsabilité de la protection des utilisateurs finaux lui incombe en dernier ressort. À l'ère du numérique, les mises à jour logicielles régulières et la sensibilisation à la sécurité des données personnelles constituent la première et la plus importante ligne de défense.
Source : https://tuoitre.vn/lo-hong-zero-day-nguy-hiem-บน-google-chrome-nguoi-dung-chu-y-20250610102157359.htm
![[Photo] Le Premier ministre Pham Minh Chinh participe à la Conférence sur la mise en œuvre des objectifs du secteur de l'industrie et du commerce pour 2026](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F19%2F1766159500458_ndo_br_shared31-jpg.webp&w=3840&q=75)
Comment (0)