Google a publié des mises à jour pour le Chrome afin de corriger plusieurs failles de sécurité à haut risque.
Cette mise à jour corrige deux failles critiques pouvant permettre l'exécution de code à distance simplement en visitant un site web malveillant.
La version stable a été mise à jour vers la version 148.0.7778.178/179 pourMac vers la version 148.0.7778.178 pour Linux ; ce déploiement s'effectuera au cours des prochaines semaines.
Comment mettre à jour Chrome
Si vous ne souhaitez pas attendre que la mise à jour vous parvienne, vous pouvez facilement la télécharger manuellement.
La manière la plus simple de mettre à jour est d'autoriser Chrome se mettre à jour automatiquement. Mais vous pouvez finir par prendre du retard si vous ne fermez jamais votre navigateur ou si un problème survient, par exemple une extension qui empêche la mise à jour.
Pour effectuer une mise à jour manuellement, cliquez sur le menuPlus(trois points), puis allez dansParamètres>À propos de Chrome. Si une mise à jour est disponible, Chrome la télécharger. Redémarrez Chrome terminer la mise à jour, et vous serez protégé contre ces vulnérabilités.
Vous trouverez également des instructions détaillées dans notre guide surla mise à jour Chrome tous les systèmes d'exploitation.
Détails techniques
Cette mise à jour corrige deux failles de sécurité critiques :
CVE-2026-9111: une vulnérabilité de type « use-after-free » dans WebRTC permettait à un attaquant distant d'exécuter du code arbitraire sous Linux via une page HTML spécialement conçue. Le « use-after-free » est un type de vulnérabilité causé par une utilisation incorrecte de la mémoire dynamique pendant l'exécution d'un programme. Si, après avoir libéré un emplacement mémoire, un programme n'efface pas le pointeur vers cette mémoire, un attaquant peut exploiter cette erreur pour manipuler le programme.
Ainsi, si un pirate parvient à inciter un utilisateur Linux à ouvrir un fichier HTML malveillant ou à se rendre sur un site web spécialement conçu à cet effet, il pourrait compromettre l'appareil.
CVE-2026-9110: Une implémentation incorrecte dans l'interface utilisateur sous Windows un attaquant distant ayant compromis le processus de rendu de falsifier l'interface utilisateur à l'aide d'une page HTML spécialement conçue.
Concrètement, cela signifiait que si un pirate avait déjà pris le contrôle du moteur de rendu interne du navigateur, il pouvait le manipuler pour qu’il affiche une fausse fenêtre ou une fausse boîte de dialogue qui semblait authentique. Cette fausse fenêtre pouvait, par exemple, donner l’impression que vous saisissiez votre mot de passe sur un site de confiance, alors qu’en réalité, vous le communiquiez au pirate.
Ceux qui s'attendaient à ce que cette mise à jour corrige la faille « Browser Fetch », qui a fait l'objet d'une fuite accidentelle, seront déçus : ce n'est pas le cas.
Pour ceux qui ne sont pas au courant, depuis sa découverte il y a 46 mois, la vulnérabilité « Browser Fetch » est restée inconnue, sauf des développeurs de Chromium. Puis, le 20 mai 2026, elle a été publiée sur le système de suivi des bogues de Chromium. La chercheuse qui avait initialement signalé la vulnérabilité a supposéqu’elle avait enfin été corrigée. Peu après, elle a appris qu'elle n'avait toujours pas été corrigée. Bien que Google ait supprimé la publication, celle-ci reste disponible sur des sites d'archivage, accompagnée du code d'exploitation.
Nous ne nous contentons pas de signaler les menaces, nous les éliminons.
Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.
