Google publie en urgence une mise à jour pour son navigateur Chrome. Elle corrige six vulnérabilités de sécurité, dont une vulnérabilité référencée CVE-2025-6558 qui est déjà activement exploitée dans des attaques. Depuis le début de l'année, il s'agit de la cinquième faille 0-day comblée pour Google Chrome.
Un autre signalement du TAG de Google
La faille a été signalée le 23 juin dernier et Google se contente de souligner qu'un exploit existe dans la nature. Des chercheurs en cybersécurité du Threat Analysis Group (TAG) de Google sont encore une fois à l'origine de la découverte, ce qui laisse supposer une possible implication d'acteurs étatiques.
Le TAG a pour mission de suivre les acteurs impliqués dans des opérations d'information, des attaques soutenues par des gouvernements et des abus à motivation financière. Il s'intéresse aux activités de fournisseurs de logiciels espions commerciaux.
Pour CVE-2025-6558, l'avis de sécurité de Google évoque une validation incorrecte des données d'entrée non fiable dans les composants ANGLE (Almost Native Graphics Layer Engine) et GPU.
Une vulnérabilité critique
La National Vulnerability Database de l'agence américaine NIST (National Institute of Standards and Technology) est plus explicite en alertant sur la possibilité pour un attaquant distant d'effectuer une évasion de sandbox via une page HTML spécialement conçue.
Une telle vulnérabilité se révèle ainsi critique. Pour du contexte, ANGLE est une couche d'abstraction open source et multiplateforme à destination des moteurs graphiques. Elle agit comme un traducteur entre le moteur de rendu de Chrome et les pilotes graphiques de l'appareil.
« Des vulnérabilités dans ce module peuvent permettre aux attaquants de contourner la sandbox de Chrome en exploitant des opérations GPU de bas niveau que les navigateurs isolent généralement, ce qui en fait une voie rare mais puissante vers un accès plus profond au système », écrit The Hacker News.
Une mise à jour sans tarder
Face à un risque aussi élevé, l'application de la mise à jour comprenant le correctif est fortement recommandée. Au minimum, les versions idoines de Chrome sont 138.0.7204.157/.158 pour Windows et macOS, 138.0.7204.157 pour Linux.
Pour vérifier si un navigateur est protégé, il suffit de se rendre dans Paramètres ou Aide, puis « À propos de Chrome ». Cette action déclenchera la recherche et l'installation de la dernière version disponible.
