Google a corrigé une vulnérabilité critique de type zero-day dans Chrome, marquant ainsi le cinquième incident de ce genre cette année. La faille, identifiée sous le nom de CVE-2025-6558, est un problème de haute gravité résultant d’une validation incorrecte des entrées non fiables dans ANGLE et le GPU de Chrome, qui assistent dans les tâches de rendu. Découverte par les chercheurs du Google Threat Analysis Group, cette vulnérabilité est exploitée pour contourner le bac à sable de Chrome, une mesure de sécurité qui isole les processus du navigateur. Les utilisateurs pourraient être ciblés en visitant des pages HTML spécialement conçues. Bien que les intentions des attaquants restent floues, l’implication du Google TAG suggère une possible utilisation par des acteurs parrainés par des États ou des vendeurs de logiciels espions.
La vulnérabilité, ainsi que deux autres affectant le moteur V8 de Chrome et la fonctionnalité WebRTC, impacte les versions de Chrome antérieures à la v138.0.7204.157/.158 sur Windows et macOS, et antérieures à la v138.0.7204.157 sur Linux. Les utilisateurs sont invités à effectuer une mise à jour rapidement, les mises à jour automatiques nécessitant simplement un redémarrage du navigateur. Microsoft prépare également un correctif pour son navigateur Edge basé sur Chromium, et des mises à jour similaires sont attendues prochainement pour d’autres navigateurs basés sur Chromium tels que Brave, Opera et Vivaldi.
