Deux failles zero-day critiques dans Chrome ont été corrigées par Google, mais elles étaient déjà activement exploitées.
Google a publié une mise à jour d’urgence pour Google Chrome qui corrige deux vulnérabilités graves actuellement exploitées activement lors d’attaques. Les vulnérabilités, CVE-2026-3909 et CVE-2026-3910, ont été découvertes par Google et corrigées en deux jours. Des mises à jour ont été publiées pour Windows, macOS et Linux.
Vulnérabilités dans le moteur graphique et le moteur JavaScript
Dans un avis de sécurité, Google écrit que la première vulnérabilité, CVE-2026-3909, se trouve dans Skia, une bibliothèque graphique 2D open-source que Chrome utilise pour le rendu des pages web et des éléments d’interface. Le problème concerne une erreur d’écriture hors limites (out-of-bounds write) pouvant entraîner un plantage du navigateur ou même l’exécution de code malveillant. La seconde vulnérabilité, CVE-2026-3910, se situe dans le moteur JavaScript V8, le moteur derrière JavaScript et WebAssembly dans Chrome.
La mise à jour est en cours de déploiement mondial
Le correctif de sécurité est inclus dans la version 146.0.7680.75 de Chrome pour Windows et Linux et dans la version 146.0.7680.76 pour macOS. Selon Google, cela peut prendre de quelques jours à quelques semaines avant que la mise à jour natteigne automatiquement tous les utilisateurs, bien quelle puisse également être installée manuellement via la fonction de mise à jour du navigateur.
Les deux vulnérabilités ont déjà été activement exploitées lors d’attaques, bien que Google n’ait pas divulgué de détails sur le mode opératoire ou les auteurs. De plus, ce ne sont pas les premières failles zero-day de cette année. En février, Google a déjà corrigé la faille CVE-2026-2441, écrit Bleeping Computer. Il s’agissait d’une vulnérabilité dans l’implémentation de CSSFontFeatureValuesMap de Chrome qui était également activement exploitée.