Devis de remise multi-licences
Données concernant les menaces Vulnérabilité CVE-2026-11645 Vulnérabilité Chrome

CVE-2026-11645 Vulnérabilité Chrome

Par Mezo en Vulnérabilité
Se traduisent par :

Google a publié des mises à jour de sécurité d'urgence pour corriger une nouvelle vulnérabilité zero-day activement exploitée dans le navigateur Chrome. Cette faille, référencée CVE-2026-11645, est la cinquième vulnérabilité zero-day de Chrome corrigée par l'entreprise depuis début 2026.

D'après Google, des preuves confirment qu'une faille exploitant cette vulnérabilité est déjà utilisée dans des attaques réelles. Le problème a été signalé anonymement à l'entreprise, et un correctif a ensuite été déployé via le canal Stable Desktop.

Des versions corrigées sont actuellement déployées à l'échelle mondiale pour Windows (149.0.7827.102), macOS (149.0.7827.103) et Linux (149.0.7827.102). Toutefois, le processus de mise à jour peut prendre plusieurs jours, voire plusieurs semaines, avant d'être disponible pour tous les utilisateurs de Chrome.

Pour ceux qui n'installent pas manuellement les mises à jour, Chrome est conçu pour rechercher et appliquer automatiquement les correctifs de sécurité disponibles lors du prochain lancement du navigateur.

À l’intérieur de CVE-2026-11645 : un défaut dangereux du moteur V8

Cette vulnérabilité critique provient d'une faille de lecture et d'écriture hors limites au sein du moteur JavaScript V8 de Chrome. Les attaquants peuvent exploiter cette faille via des pages HTML spécialement conçues, ce qui peut permettre l'exécution de code arbitraire dans l'environnement sandbox du navigateur.

Une exploitation réussie de cette vulnérabilité peut entraîner une corruption de la mémoire, permettant aux attaquants d'accéder à des données en dehors des limites prévues. Ce comportement peut exposer des informations sensibles, provoquer des plantages du navigateur ou faciliter d'autres activités malveillantes.

Au-delà de l'accès non autorisé à la mémoire, cette vulnérabilité pourrait également être exploitée pour contourner les protections de sécurité telles que l'ASLR (Address Space Layout Randomization), augmentant ainsi la probabilité d'exécuter du code lorsqu'elle est combinée à d'autres faiblesses.

Divulgation limitée pour protéger les utilisateurs

Bien que Google ait reconnu l'exploitation active de cette vulnérabilité, l'entreprise n'a pas encore divulgué les détails techniques des attaques. L'accès aux informations sur le bug et aux ressources associées pourrait rester restreint jusqu'à ce qu'une part importante des utilisateurs de Chrome ait installé la mise à jour de sécurité.

Les restrictions peuvent également persister si le code concerné se trouve dans des bibliothèques tierces utilisées par d'autres projets et qui n'ont pas encore mis en œuvre leurs propres correctifs.

Liste croissante des menaces zero-day en 2026

La vulnérabilité CVE-2026-11645 s'ajoute à plusieurs autres failles zero-day de Chrome qui ont été activement exploitées cette année :

  • CVE-2026-2441 – Une vulnérabilité d'invalidation d'itérateur dans CSSFontFeatureValuesMap, corrigée en février.
  • CVE-2026-3909 – Une faille d'écriture hors limites dans la bibliothèque graphique Skia 2D, exploitée en mars.
  • CVE-2026-3910 – Une vulnérabilité d'implémentation inappropriée affectant le moteur JavaScript et WebAssembly V8, également exploitée en mars.
  • CVE-2026-5281 – Une vulnérabilité d'utilisation après libération dans Dawn, l'implémentation WebGPU multiplateforme de Chromium, corrigée en avril.

La lutte permanente de Chrome contre les failles zero-day

La dernière mise à jour d'urgence souligne la menace persistante que représentent les failles zero-day ciblant les navigateurs web modernes. Tout au long de l'année 2025, Google a corrigé huit failles zero-day supplémentaires dans Chrome qui avaient été exploitées. Plusieurs de ces vulnérabilités ont été identifiées par le Threat Analysis Group (TAG) de Google, une équipe spécialisée reconnue pour son expertise dans le suivi des opérations sophistiquées de cyberespionnage et des campagnes de logiciels espions.

La découverte continue de failles activement exploitées souligne l'importance des mises à jour régulières des navigateurs et de la correction rapide des vulnérabilités pour protéger les utilisateurs contre l'évolution des cybermenaces.

Tendance

Arnaque par e-mail : devis et détails techniques

Hameçonnage, Courrier indésirable
Les cybercriminels perfectionnent sans cesse leurs techniques pour rendre les courriels frauduleux plus crédibles. C'est pourquoi la vigilance est essentielle dès qu'un message inattendu arrive dans votre boîte de réception. Même les courriels d'apparence professionnelle et commerciale peuvent être des arnaques soigneusement élaborées pour dérober des informations sensibles. La campagne de...

Le plus regardé

Chargement...