Google a déployé des correctifs d’urgence pour colmater une nouvelle faille zero-day dans Chrome qui a été exploitée en conditions réelles. Cette vulnérabilité est la cinquième de ce type que l’entreprise corrige depuis le début de l’année.
« Google sait qu’un exploit pour CVE-2026-11645 est utilisé en conditions réelles, » a indiqué la société dans un bulletin de sécurité publié lundi.
L’entreprise a résolu la faille zero-day pour les utilisateurs de la version stable sur desktop. Les versions corrigées sont distribuées mondialement pour Windows (149.0.7827.102), Mac (149.0.7827.103) et Linux (149.0.7827.102), deux semaines après qu’un chercheur en sécurité anonyme l’a signalée à Google.
Google précise que cette mise à jour de sécurité pourrait prendre plusieurs jours ou semaines pour atteindre tous les utilisateurs de Chrome. Cependant, le correctif était déjà disponible immédiatement lors d’un test réalisé aujourd’hui.
Les utilisateurs qui ne souhaitent pas procéder à une mise à jour manuelle de leur navigateur peuvent se fier à Chrome, qui vérifie et installe automatiquement les nouvelles versions lors du prochain lancement.
Cette faille zero-day de haute gravité, identifiée comme CVE-2026-11645, provient d’une erreur de lecture et écriture hors limites dans le moteur JavaScript V8 de Chrome. Des attaquants distants peuvent l’exploiter via des pages HTML conçues pour exécuter du code arbitraire dans le bac à sable du navigateur.
Une exploitation réussie permet d’accéder à des données qui se situent hors du tampon mémoire, via une corruption du tas. Cela peut exposer des informations sensibles ou provoquer un crash.
En plus d’un accès non autorisé à la mémoire hors limites, cette faille zero-day maintenant corrigée pouvait aussi être utilisée pour contourner des mécanismes de protection comme ASLR. Cela facilitait alors l’exécution de code via une autre vulnérabilité.
Google affirme qu’il connaît l’existence d’exploits pour la faille CVE-2024-0519 utilisés dans des attaques, mais l’entreprise n’a pas encore divulgué de détails supplémentaires sur ces incidents.
« L’accès aux détails du bug et aux liens peut rester restreint jusqu’à ce qu’une majorité d’utilisateurs soient mis à jour avec un correctif, » explique Google. « Nous maintiendrons aussi ces restrictions si le bug existe dans une bibliothèque tierce que d’autres projets utilisent, mais qui n’est pas encore corrigée. »
Depuis janvier, Google a traité quatre autres failles zero-day exploitées dans des attaques.
- Un bug d’invalidité d’itérateur (CVE-2026-2441) dans CSSFontFeatureValuesMap (l’implémentation Chrome des valeurs de fonctionnalités de fontes CSS), corrigé par Google en mi-février.
- Deux autres bugs zero-day de Chrome exploités en mars : une erreur d’écriture hors limites dans la bibliothèque graphique 2D Skia (CVE-2026-3909), et une vulnérabilité d’implémentation inadéquate dans le moteur JavaScript et WebAssembly V8 (CVE-2026-3910).
- Et une faille de libération après utilisation dans Dawn (CVE-2026-5281), l’implémentation multiplateforme sous-jacente du standard WebGPU utilisée par le projet Chromium, que Google a corrigée en avril.
L’année dernière, Google avait déjà corrigé huit autres failles zero-day exploitées en conditions réelles. Beaucoup avaient été signalées par le Threat Analysis Group (TAG) de l’entreprise, qui identifie et suit les exploits zero-day employés dans des attaques par spyware.