Chrome frappé à nouveau : Google corrige la quatrième vulnérabilité zero-day en 2025

Google a publié une mise à jour de sécurité d’urgence pour Chrome lundi afin de corriger une vulnérabilité zero-day exploitée activement qui affectait les utilisateurs de Windows et de Mac dans le monde entier. C’est la quatrième vulnérabilité zero-day de Chrome corrigée depuis début 2025.

La vulnérabilité zero-day, suivie sous le nom de CVE-2025-6554, a été décrite comme un bug de « confusion de type » de haute gravité dans le moteur V8 JavaScript et WebAssembly de Chrome.

Clement Lecigne, un chercheur en sécurité du groupe d’analyse des menaces (TAG) de Google, qui a signalé la vulnérabilité zero-day le 25 juin 2025, a été crédité de sa découverte et de son signalement. Le TAG est connu pour avoir découvert des attaques sophistiquées liées à des acteurs étatiques.

Quelle est la vulnérabilité ?

Les défauts de confusion de type dans V8, le moteur JavaScript de Chrome, se produisent lorsque le navigateur se trompe sur le type de données qu’il traite. Cela peut amener Chrome à mal interpréter la mémoire, ouvrant la porte à des lectures/écritures arbitraires et, dans certains cas, à une exécution de code à distance complète (RCE).

Cette erreur peut permettre aux hackers d’accéder à des parties de la mémoire qu’ils ne devraient pas, ce qui peut leur permettre d’exécuter du code nuisible ou de faire planter le navigateur.

« Google est conscient qu’un exploit pour CVE-2025-6554 existe dans la nature », a déclaré le géant technologique dans un avis de sécurité publié lundi.

Selon la base de données nationale des vulnérabilités (NVD), ce défaut impacte les versions de Chrome antérieures à 138.0.7204.96 et peut permettre aux attaquants d’exécuter du code malveillant ou de provoquer le plantage de l’application.

Mesures d’atténuation

Google a déployé une atténuation temporaire côté serveur le 26 juin 2025, via le canal stable de Chrome, pour corriger la vulnérabilité zero-day. L’entreprise a déployé un correctif complet pour les utilisateurs de Chrome dans le canal Stable Desktop : Windows (138.0.7204.96/.97), Mac (138.0.7204.92/.93) et utilisateurs de Linux (138.0.7204.96).

« L’accès aux détails des bugs et aux liens peut être restreint jusqu’à ce qu’une majorité d’utilisateurs soit mise à jour avec un correctif. Nous conserverons également des restrictions si le bug existe dans une bibliothèque tierce dont d’autres projets dépendent également, mais qui n’ont pas encore été corrigés », a déclaré Google.

Google n’a pas encore divulgué de détails sur l’exploitation ou les acteurs de la menace derrière les attaques. Étant donné que le défaut est activement exploité dans la nature, il est fortement recommandé aux utilisateurs d’appliquer le correctif de sécurité dès que possible pour protéger leurs appareils et eux-mêmes contre des risques de sécurité importants.

Bien que la mise à jour automatique de Chrome installera finalement le correctif, vous pouvez également mettre à jour manuellement Chrome en allant dans Paramètres > Aide > À propos de Google Chrome.

Pourquoi est-ce le quatrième ?

** Les vulnérabilités zero-day précédemment corrigées dans Chrome en 2025 incluent CVE20252783 (mars) : Gestion incorrecte fournie dans des circonstances non spécifiées dans Mojo sur Windows ; CVE20254664 (mai) : Application de politique insuffisante dans Loader ; et CVE20255419 (juin) : Lecture et écriture hors limites dans V8.

Avec CVE20256554 maintenant corrigé, cela marque le quatrième exploit zero-day actif traité en seulement sept mois.