Google a procédé à une mise à jour urgente de Chrome pour corriger une vulnérabilité critique de type zero-day dans le moteur JavaScript V8, identifiée sous le code CVE-2026-11645. Ce défaut, d’une gravité élevée, permet des opérations de lecture et d’écriture hors limites, exposant ainsi à des risques tels que la divulgation de données sensibles ou l’exécution de code à distance au sein du bac à sable du navigateur. Le problème peut être déclenché par une page HTML spécialement conçue, et une exploitation est déjà active dans la nature. Les mises à jour sont disponibles sous la version 149.0.7827.102.103 pour Windows et Mac, et 149.0.7827.102 pour Linux.
Cette vulnérabilité est la cinquième zero-day affectant Chrome en 2026. Google retient des informations détaillées sur le défaut tant que les mises à jour sont en cours de déploiement. Elle a été signalée en avril 2026 par un chercheur anonyme, qui a reçu une récompense de 55 000 dollars. La faille menace principalement les utilisateurs qui n’ont pas encore effectué la mise à jour vers la version corrigée 149. Une exploitation réussie pourrait entraîner une corruption de la mémoire et un accès non autorisé à celle-ci, contournant potentiellement des mesures de sécurité comme l’ASLR.
À l’heure actuelle, il n’existe aucune preuve de concept publique, et Google n’a pas divulgué de détails techniques ni d’informations sur les attaques. Il est suspecté que ce zero-day ait pu être utilisé conjointement avec une vulnérabilité d’évasion de bac à sable. Les utilisateurs sont invités à mettre à jour leur navigateur Chrome immédiatement, car le déploiement du correctif pourrait prendre du temps pour atteindre tous les utilisateurs. Détecter une exposition à cette vulnérabilité est difficile en raison du manque d’informations détaillées, mais les organisations doivent s’assurer que toutes les installations de Chrome sont mises à jour vers la dernière version.
