Une mise à jour de sécurité est publiée en urgence pour Google Chrome afin de combler quatre vulnérabilités. Pour l'une d'elles, Google indique avoir connaissance d'une exploitation active dans des attaques. Pour cette année 2025, il s'agit de la sixième faille zero-day comblée dans Chrome.
Un mystérieux exploit déjà dans la nature
Référencée CVE-2025-10585, la vulnérabilité de sécurité en question a été signalée le 16 septembre par le Threat Analysis Group (TAG) de Google. Elle est de confusion de type et affecte le moteur V8 JavaScript et WebAssembly de Chrome.
Via une page web spécialement conçue, elle permet à un attaquant de lire ou écrire des données dans la mémoire en dehors des limites prévues. Si un risque est le plantage du navigateur, un autre risque est une exécution de code arbitraire, ce qui ouvre potentiellement la voie à l'installation de malwares.
À noter toutefois que Google n'attribue pas un niveau de dangerosité critique pour la vulnérabilité à elle seule, comme cela avait pu être le cas récemment avec la vulnérabilité CVE-2025-9478 (pas zero-day) touchant ANGLE (Almost Native Graphics Layer Engine) et signalée par l'IA (Google Big Sleep).
Une petite idée de la menace
Pour CVE-2025-10585, un signalement par le TAG de Google laisse supposer une possible implication d'acteurs étatiques.
Le TAG a pour mission de suivre les acteurs impliqués dans des opérations d'information, des attaques soutenues par des gouvernements et des abus à motivation financière. Il s'intéresse aux activités de fournisseurs de logiciels espions commerciaux ou mercenaires.
Si les détails manquent pour le moment, une action rapide est néanmoins requise. Au minimum, les versions protégées de Chrome sont 140.0.7339.185/.186 pour Windows et macOS, 140.0.7339.185 pour Linux. À vérifier dans Paramètres ou Aide, puis « À propos de Chrome ». Le cas échéant, cette action déclenchera la recherche et l'installation de la dernière version disponible.
