Google corrige une faille zero-day préoccupante dans Chrome - voici comment vous protéger

Actualités
Par publié

Un bug dans Google Chrome V8 permettait l'exécution de code arbitraire.

L'application Google Chrome apparaît sur un iPhone à côté d'Edge et d'autres applications de navigateur Web. Microsoft utilise de nouvelles invites dans Edge pour tenter d'empêcher les utilisateurs de télécharger Chrome.
(Crédit photo: Tada Images / Shutterstock)
  • Google corrige la faille zero-day CVE-2025-13223 dans le moteur V8 de Chrome
  • Le bug permettait l'exécution de code arbitraire et était probablement exploité par des acteurs malveillants soutenus par des États
  • Les utilisateurs doivent mettre à jour Chrome vers la version 142.0.7444.175/.176 sur toutes les plateformes

Google a corrigé une faille de sécurité préoccupante dans son navigateur Chrome, qui était exploitée dans la nature comme une vulnérabilité zero-day.

Dans un nouvel avis de sécurité, Google a déclaré avoir corrigé une vulnérabilité de confusion de types dans le moteur JavaScript et WebAssembly V8, qui conduisait à l'exécution de code arbitraire. V8 est le moteur JavaScript et WebAssembly du navigateur, c'est-à-dire essentiellement le « cerveau » qui lit, compile et exécute le code JavaScript et WASM dans les pages web.

La vulnérabilité est désormais référencée sous le numéro CVE-2025-13223 et a un score de gravité de 8,8/10 (élevé). « La confusion de types dans V8 dans Google Chrome avant la version 142.0.7444.175 permettait à un attaquant distant d'exploiter potentiellement une corruption de la mémoire via une page HTML spécialement conçue », a déclaré la National Vulnerability Database (NVD) dans son explicatif.

Comment résoudre le problème

Comme l'a rapporté The Hacker News, le bug a été découvert pour la première fois par un chercheur en sécurité du groupe d'analyse des menaces (TAG pour Threat Analysis Group) de Google, qui n'a pas révélé l'identité des deux attaquants ni celle des victimes.

Cependant, d'après des rapports précédents, nous savons que l'équipe TAG de Google surveille généralement les acteurs malveillants soutenus par des États. On peut donc supposer que ce bug a été exploité par des acteurs tels que la Corée du Nord, la Chine, la Russie ou l'Iran. Le groupe Lazarus (Corée du Nord) et APT29 (Russie) ont déjà été observés en train d'exploiter les failles de Chrome par le passé.

Il s'agit du troisième bug de confusion de types découvert dans V8 cette année, ajoute The Hacker News, après CVE-2025-6554 et CVE-2025-10585.

Comme Google effectue automatiquement les mises à jour par défaut à chaque lancement, les utilisateurs n'auront probablement rien à faire. Toutefois, si les mises à jour automatiques sont désactivées, veillez à mettre à jour votre navigateur vers les versions 142.0.7444.175/.176 pour Windows, 142.0.7444.176 pour Apple macOS et 142.0.7444.175 pour Linux.

Pour vérifier la version de Chrome que vous utilisez, accédez à Plus > Aide > À propos de Google Chrome et sélectionnez Redémarrer.

Sead Fadilpašić

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.