L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a émis un avertissement concernant une vulnérabilité critique de type zero-day dans Google Chrome, actuellement exploitée dans des attaques actives. Les agences du pouvoir exécutif civil fédéral ont reçu pour instruction de mettre en œuvre les mises à jour de sécurité nécessaires d’ici le 14 octobre 2025, conformément à la Directive opérationnelle contraignante 22-01. La vulnérabilité, identifiée sous le code CVE-2025-10585, a été ajoutée à la liste des vulnérabilités exploitées connues de la CISA, soulignant l’urgence pour les utilisateurs et les administrateurs d’agir rapidement. Google a reconnu l’existence d’un exploit pour cette faille et a publié des mises à jour de sécurité pour atténuer le risque.
La vulnérabilité provient d’une faille de confusion de type dans le moteur V8 de JavaScript et WebAssembly de Chrome. Cela se produit lorsqu’un programme accède à une ressource avec un type incompatible, entraînant une interprétation incorrecte des données et une potentielle corruption de la mémoire. Les attaquants peuvent exploiter cette faille pour faire planter le navigateur ou exécuter du code arbitraire sur le système affecté.
Découverte par le groupe d’analyse des menaces de Google le 16 septembre 2025, les détails sur les attaques spécifiques ou les acteurs menaçants restent non divulgués afin de prévenir toute exploitation supplémentaire avant que les utilisateurs ne puissent appliquer les correctifs. Il s’agit de la sixième vulnérabilité zero-day de Chrome exploitée activement cette année, soulignant une tendance des attaquants à se concentrer sur les vulnérabilités des navigateurs.
Bien que la directive soit obligatoire pour les agences fédérales, la CISA recommande fortement à toutes les organisations et individus de prioriser la mise à jour de leurs systèmes pour prévenir d’éventuelles attaques. Les utilisateurs peuvent initier les mises à jour en accédant au menu Chrome, en sélectionnant « Aide », puis « À propos de Google Chrome », ce qui vérifiera automatiquement et installera la dernière version. Les utilisateurs d’autres navigateurs basés sur Chromium, tels que Microsoft Edge, Brave, Opera et Vivaldi, sont également conseillés de mettre à jour leurs systèmes de sécurité auprès de leurs fournisseurs sans délai.
