Selon une actualité publiée par Security Week, Google a récemment déployé une mise à jour pour son navigateur Chrome afin de corriger trois vulnérabilités, dont une faille critique exploitée activement.
La vulnérabilité, identifiée comme CVE-2025-5419, est une faille de type out-of-bounds read and write dans le moteur JavaScript V8 de Chrome. Cette faille permet à un attaquant distant d’exploiter potentiellement une corruption de la mémoire via une page HTML spécialement conçue, ce qui peut mener à l’exécution de code arbitraire.
Google a reconnu l’existence d’un exploit pour cette vulnérabilité dans la nature. La faille a été signalée par Clement Lecigne et Benoît Sevens du Google Threat Analysis Group (TAG), qui ont déjà identifié plusieurs vulnérabilités exploitées par des vendeurs de logiciels espions commerciaux.
La mise à jour de Chrome, version 137.0.7151.68/.69 pour Windows et macOS, et 137.0.7151.68 pour Linux, corrige également une autre vulnérabilité de sévérité moyenne, CVE-2025-5068, un problème de use-after-free dans Blink, pour lequel un chercheur a reçu une prime de 1 000 $. Aucun prix n’a été attribué pour le signalement de la faille critique.
🔗 Source originale : https://www.securityweek.com/google-researchers-find-new-chrome-zero-day/