Google publie une mise à jour pour son navigateur Chrome afin de corriger trois vulnérabilités de sécurité. Pour l'une d'elles, il existe un exploit dans la nature.
Depuis le début de cette année, il s'agit de la troisième vulnérabilité 0-day touchant Chrome, à savoir une faille activement exploitée alors qu'un correctif n'était pas disponible. De quoi justifier une publication en urgence.
La vulnérabilité CVE-2025-5419 affecte le moteur JavaScript V8. Elle permet une lecture et écriture hors des limites de la mémoire allouée. Du code malveillant est ainsi susceptible d'accéder à des zones mémoire non prévues.
Une mesure d'atténuation déployée en amont
A priori, un attaquant serait en mesure d'exploiter la vulnérabilité à distance, simplement en incitant une cible à visiter une page HTML spécialement conçue. Du code JavaScript intégré à la page exploiterait la faille pour manipuler la mémoire.
Avec une corruption de la mémoire, les risques sont un plantage du navigateur, la fuite de données sensibles, voire l'exécution de code arbitraire pour une prise de contrôle. Pour le moment, Google n'entre toutefois pas dans les détails.
Il est souligné qu'une mesure d'atténuation a été déployée dès le 28 mai 2025 via un changement de configuration dans Chrome. La modification a été poussée dans le canal stable pour protéger tous les utilisateurs finaux sur l'ensemble des plateformes.
Une découverte par le TAG de Google
La faille CVE-2025-5419 a été signalée le 27 mai par des chercheurs en sécurité du Threat Analysis Group (TAG) de Google.
Le TAG a pour mission principale de suivre les acteurs impliqués dans des opérations d'information, des attaques soutenues par des gouvernements et des abus à motivation financière. Il s'intéresse notamment aux activités de fournisseurs de logiciels espions commerciaux.
La vulnérabilité est corrigée avec la mise à jour 137.0.7151.68/.69 de Google Chrome pour Windows et macOS, et 137.0.7151.68 pour Linux.
