Google a publié une mise à jour de sécurité pour Chrome corrige 18 failles, dont quatre classées « critiques ». Rien n'indique que ces failles récemment corrigées fassent actuellement l'objet d'une exploitation active dans la nature.
La version « stable » a été mise à jour vers la version 149.0.7827.196/197 pour Windows Mac vers la version 149.0.7827.196 pour Linux. La mise à jour sera déployée au cours des prochains jours et des prochaines semaines. Chrome Android également Android mis à jour récemment vers la version 149.0.7827.197.
Comment mettre à jour Chrome
Si vous ne souhaitez pas attendre que la mise à jour vous parvienne, vous pouvez facilement la télécharger manuellement.
La solution la plus simple consiste à laisser Chrome jour automatiquement. Cependant, vous risquez de prendre du retard dans les mises à jour si vous ne fermez jamais votre navigateur ou si un problème survient, par exemple si une extension empêche la mise à jour.
Pour effectuer la mise à jour manuellement, cliquez sur le menu« Plus »(les trois points), puis accédez àParamètres>À propos de Chrome. Si une mise à jour est disponible, Chrome la Chrome automatiquement. Redémarrez Chrome terminer la mise à jour ; vous serez alors protégé contre ces failles de sécurité.
Vous trouverez une explication du système de numérotation des versions ainsi que des instructions détaillées dans notre guide expliquantcomment mettre à jour Chrome chaque système d'exploitation.
Détails techniques
Examinons les deux vulnérabilités critiques de WebGL. WebGL, abréviation de « Web Graphics Library », est une technologie de navigateur qui permet aux sites web d'afficher des graphismes interactifs en 2D et en 3D.
Nous allons commencer par la seule vulnérabilité qui n’ait pas été découverte par Google. Il s’agit d’une vulnérabilité de type « use-after-free » dans WebGL, référencée sous le numéro CVE-2026-13028, qui pourrait permettre à un attaquant de s’échapper de la zone de sécurité (sandbox) Chromenavigateur Chromeà l’aide d’une page HTML spécialement conçue à cet effet.
Une « utilisation après libération » (use-after-free) est un type de vulnérabilité causée par une utilisation incorrecte de la mémoire dynamique pendant l'exécution d'un programme. Si, après avoir libéré un emplacement mémoire, un programme n'efface pas le pointeur pointant vers cet emplacement, un attaquant peut exploiter cette erreur pour provoquer le plantage du programme ou le forcer à exécuter du code qu'il ne devrait pas exécuter.
Le bac à sable du navigateur est un environnement restreint et isolé, destiné à confiner toute activité malveillante au sein du navigateur plutôt que de la laisser se propager directement à l'ensemble de votre ordinateur. Une évasion du bac à sable est donc dangereuse, car elle peut permettre aux attaquants de passer d'une situation où « un incident s'est produit à l'intérieur du navigateur » à une situation où « un incident peut affecter l'ensemble du système ».
L'autre vulnérabilité critique de WebGL est la CVE-2026-13032. Il s'agit également d'une faille de type « use-after-free » qui pourrait permettre à un attaquant distant de s'échapper du bac à sable via une page HTML spécialement conçue.
Même en l'absence d'exploitation confirmée « dans la nature » pour ces CVE, Chrome fait l'objet de plusieurs attaques « zero-day » cette année, ce qui montre clairement que les pirates investissent dans les attaques Web. Par exemple, la vulnérabilité CVE-2026-2441, qui a fait l’objet d’une mise à jour distincte, permettait aux attaquants d’exécuter du code au sein du bac à sable Chromevia une page Web malveillante. Associée à l’une des failles WebGL évoquées plus haut, elle aurait pu aider les attaquants à contourner les protections du navigateur. Combinées, ces vulnérabilités auraient potentiellement permis aux attaquants de prendre le contrôle de l’ensemble du système.
Mettez fin aux menaces avant qu'elles ne causent du tort.
Malwarebytes Browser Guard automatiquement les pages de hameçonnage et les sites malveillants. Gratuit, s'installe en un clic. Ajoutez-le à votre navigateur →
