L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a tiré la sonnette d’alarme concernant une vulnérabilité critique de type zero-day dans Google Chrome, identifiée sous le code CVE-2025-10585. Ce défaut réside dans le moteur V8 de JavaScript et WebAssembly de Chromium, constituant une menace significative pour les utilisateurs du monde entier. La CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités exploitées connues, soulignant son exploitation active dans des scénarios réels. Les agences fédérales sont tenues de corriger ou de cesser d’utiliser les versions affectées de Chrome d’ici le 14 octobre 2025, conformément à la directive opérationnelle contraignante BOD 22-01.
La vulnérabilité est un défaut de confusion de type dans le moteur V8 de Chrome, qui pourrait permettre aux attaquants d’exécuter du code arbitraire en manipulant les structures de mémoire. Cela est réalisé en créant des pages web exploitant une mauvaise gestion des types, conduisant à une corruption de la mémoire et à une éventuelle exécution de code à distance. Google a réagi en publiant des correctifs de sécurité, et il est conseillé aux utilisateurs de s’assurer que leurs installations de Chrome sont à jour.
La directive de la CISA souligne l’urgence de traiter ce défaut, exhortant tant les organisations fédérales que privées à se conformer. Les fournisseurs de services cloud et les entreprises devraient prioriser l’application des correctifs ou mettre en place des contrôles compensatoires si des mises à jour immédiates ne sont pas possibles. Les administrateurs systèmes sont invités à imposer les mises à jour de Chrome, à surveiller les indicateurs de compromission et à restreindre l’accès aux contenus non fiables.
Bien qu’aucune activité de rançongiciel exploitant cette faille n’ait été confirmée pour le moment, son impact potentiel est préoccupant. Le rôle du moteur V8 dans le traitement de JavaScript et WebAssembly augmente le risque pour les utilisateurs visitant des sites compromis. Les organisations sont encouragées à suivre les meilleures pratiques pour atténuer cette menace et protéger leurs réseaux.
