Une mise à jour de sécurité est diffusée en urgence pour Google Chrome afin de combler deux vulnérabilités. Pour l'une d'elles, Google indique avoir connaissance d'une exploitation active dans des attaques. Il s'agit de la septième faille zero-day comblée dans Chrome pour cette année 2025.
Une alerte du TAG pour un exploit dans la nature
Référencée CVE-2025-13223, la vulnérabilité de sécurité en question a été signalée le 12 novembre par le Threat Analysis Group (TAG) de Google. Elle est de confusion de type et affecte le moteur V8 JavaScript et WebAssembly de Chrome.
Via une page web spécialement conçue, elle permet à un attaquant de lire ou écrire des données dans la mémoire en dehors des limites prévues. Si un risque est le plantage du navigateur, un autre risque est une exécution de code arbitraire.
Google n'attribue pas un niveau de dangerosité critique pour la vulnérabilité à elle seule, mais elle peut entrer dans le cadre d'une chaîne d'exploitation.
Rappelons que le TAG a pour mission de suivre les acteurs impliqués dans des opérations d'information, des attaques soutenues par des gouvernements et des abus à motivation financière. Il s'intéresse aux activités de fournisseurs de logiciels espions commerciaux ou mercenaires.
Une mise à jour à appliquer sans tarder
Si les détails manquent pour le moment, une action rapide est requise. Au minimum, les versions protégées de Chrome sont 142.0.7444.175/.176 pour Windows, 142.0.7444.176 pour macOS et 142.0.7444.175 pour Linux.
À vérifier dans Paramètres ou Aide, puis " À propos de Chrome ". Le cas échéant, cette action déclenchera la recherche et l'installation de la dernière version disponible.
Hormis CVE-2025-13223, la deuxième faille corrigée (sans être zero-day) est CVE-2025-13224. De même nature que la vulnérabilité zero-day dans V8, elle a été signalée à Google par Big Sleep le mois dernier, c'est-à-dire l'agent IA conçu pour scanner de manière autonome les logiciels à la recherche de failles inconnues.