Google Chrome : une mise à jour est urgente

Génération NT / Actualités / Google Chrome : une mise à jour est urgente

Publié le 16 mai 2025 à 11:30 par Jérôme G.

Deuxième vulnérabilité de sécurité 0-day de l'année pour le navigateur Google Chrome. Une mise à jour est très vivement recommandée en raison du risque qu'elle représente.

Le navigateur Google Chrome souffre d'une poignée de vulnérabilités de sécurité qui sont corrigées dans le cadre d'une mise à jour 136.0.7103.113/.114 pour Windows, macOS et Linux. Pour l'une d'elles, il est souligné un exploit dans la nature.

Depuis le début de cette année 2025 et après CVE-2025-2783, il s'agit de la deuxième vulnérabilité 0-day touchant Chrome, à savoir une faille activement exploitée alors qu'un correctif n'était pas disponible. Un certain flou demeure toutefois concernant une exploitation effective dans un contexte malveillant.

La vulnérabilité CVE-2025-4664 est présentée comme un problème d'application des politiques de sécurité dans le composant Loader de Chrome pour la gestion du chargement des ressources web. Il est essentiel pour la gestion des politiques de sécurité.

Des éléments d'explication du danger

La faille a été signalée en début de mois sur le réseau social X par le chercheur en sécurité Vsevolod Kokorin de SolidLab.

Il souligne que lorsqu'une ressource est chargée par Chrome, le navigateur lit et applique l'en-tête HTTP Link sur des sous-ressources. Le problème réside dans la combinaison de ce comportement et la possibilité de définir une politique de référent en unsafe-url via l'en-tête.

Une ressource tierce et potentiellement malveillante pourrait alors recevoir la requête avec toute l'URL source, y compris les paramètres avec des informations sensibles et susceptibles de compromettre un compte.

« Les développeurs envisagent rarement la possibilité de voler des paramètres de requêtes via une image provenant d'une ressource tierce, ce qui rend cette astuce étonnamment utile dans certains cas », écrit l'expert en sécurité.

Juste une preuve de concept ?

Même s'il ne semble pas avoir de rapport d'une exploitation malveillante pour le moment, il vaut mieux ne pas prendre de risque. D'autant que le signalement remonte maintenant à une dizaine de jours et la situation a pu évoluer depuis.

Afin de vérifier si la mise à jour salvatrice est disponible, il est possible de la solliciter manuellement depuis « Aide » et « À propos de Google Chrome » dans les paramètres du navigateur.

Jérôme G.

Journaliste GNT spécialisé en nouvelles technologies

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Poster un commentaire