Une mise à jour de sécurité a été publiée en urgence pour Google Chrome afin de combler une vulnérabilité de sécurité au niveau de dangerosité jugé critique. Une attribution qui demeure relativement rare dans les avis de sécurité.
Par définition, les bugs de sécurité de gravité critique font généralement référence à la possibilité pour un attaquant d'exécuter du code arbitraire sur la plateforme sous-jacente, avec les privilèges de l'utilisateur dans le cours normal de la navigation.
Une menace nommée CVE-2025-9478
Au cœur de l'alerte se trouve la faille critique identifiée sous le nom de CVE-2025-9478. Il s'agit d'un problème de type Use-after-free touchant ANGLE, un composant graphique. Le navigateur tente d'utiliser une zone de sa mémoire qu'il a déjà libérée, créant une instabilité.
Un attaquant pourrait exploiter la vulnérabilité via une page HTML piégée, un site web compromis ou même une publicité malveillante. L'exploitation réussie de la faille permettrait l'exécution de code arbitraire, ouvrant la voie à une prise de contrôle partielle, voire totale du système de la victime.
ANGLE - Almost Native Graphics Layer Engine - est une couche d'abstraction open source et multiplateforme à destination des moteurs graphiques. Elle agit comme un traducteur entre le moteur de rendu de Chrome et les pilotes graphiques de l'appareil.
Big Sleep, l'IA qui chasse les failles avant les attaquants
La vulnérabilité critique CVE-2025-9478 n'a pas été découverte par un chercheur en cybersécurité humain, mais par une intelligence artificielle. Google attribue le signalement à Google Big Sleep.
Développé par les équipes de DeepMind et de Project Zero de Google, cet agent IA est conçu pour scanner de manière autonome les logiciels à la recherche de vulnérabilités inconnues. Le 11 août 2025, Big Sleep a signalé le bug de sécurité qui a ensuite été validé par des experts humains.
En juillet dernier, Google a vanté que l'IA a permis de découvrir de multiples failles dans des logiciels largement utilisés, « dépassant nos attentes et accélérant la recherche de vulnérabilités ».
À mettre à jour sans tarder
Pour le moment, il n'est pas fait état d'une exploitation de la vulnérabilité CVE-2025-9478 dans la nature. Cela ne dispense pas d'agir rapidement, d'autant plus compte tenu de son niveau de dangerosité critique.
Au minimum, les versions de Chrome avec le correctif idoine sont 139.0.7258.154/.155 pour Windows et macOS, et la version 139.0.7258.154 pour Linux.
Pour vérifier si un navigateur est protégé, il suffit de se rendre dans Paramètres ou Aide, puis « À propos de Chrome ». Cette action déclenchera la recherche et l'installation de la dernière version disponible, si besoin.
