En résumé:
- PCWorld rapporte que Google a publié une mise à jour d’urgence de Chrome 146 corrigeant deux vulnérabilités zero-day (CVE-2026-3909 et CVE-2026-3910) activement exploitées par les attaquants.
- La mise à jour corrige 29 failles de sécurité au total, y compris des vulnérabilités critiques dans la bibliothèque graphique Skia et le moteur JavaScript V8 qui présentent des risques élevés pour les utilisateurs.
- Les utilisateurs doivent immédiatement mettre à jour vers les versions Chrome 146.0.7680.75/76 via une vérification manuelle, car ces vulnérabilités sont activement exploitées dans des attaques réelles.
Dans les nouvelles versions de Chrome 146.0.7680.75/76 pour Windows et macOS et 146.0.7680.75 pour Linux, les développeurs ont corrigé deux failles de sécurité. Selon Google, les deux vulnérabilités sont déjà exploitées pour des attaques sauvages. Cette mise à jour intervient seulement un jour après les versions 146.0.7680.71/72 de Chrome pour Windows et macOS et 146.0.7680.71 pour Linux, qui ont corrigé 29 autres vulnérabilités.
Dans le billet de blog Chrome Releases, Srinivas Sista répertorie les deux vulnérabilités de sécurité qui viennent d’être corrigées. Ils ont été découverts en interne le 10 février et sont classés à haut risque.
En règle générale, Chrome se met automatiquement à jour lorsqu’une nouvelle version est disponible. Mais si vous ne l’avez pas encore, vous pouvez déclencher manuellement la mise à jour via l’élément de menu Aide > À propos de Google Chrome.
Les failles de sécurité Zero Day
La première vulnérabilité de sécurité Zero Day est un bug dans la bibliothèque graphique Skia (CVE-2026-3909) qui permet l’accès en écriture à des adresses mémoire en dehors des limites d’un tampon prédéfini (« écriture hors limites »).
La deuxième vulnérabilité zero-day (CVE-2026-3910) se trouve dans le moteur JavaScript V8, décrite comme une « implémentation inappropriée ». On ne sait pas exactement ce qui a été mal mis en œuvre et pourquoi cela pose un tel problème.
Google reste discret sur la nature et l’ampleur des attaques exploitant ces vulnérabilités.
Important: Que vous gardiez votre navigateur à jour, vous avez besoin de protections antivirus appropriées si vous souhaitez que votre PC reste sécurisé et privé. Consultez notre sélection des meilleurs logiciels antivirus pour Windows ainsi que des meilleurs services VPN pour garder une longueur d’avance sur les problèmes de sécurité.
Qu’est-ce qui est corrigé d’autre dans Chrome 146 ?
Deux jours plus tôt, le 10 mars, Google a publié la nouvelle version majeure de Chrome 146, que vous pouvez découvrir dans cet article de blog Chrome Releases. Cette mise à jour a corrigé 29 failles de sécurité, presque toutes signalées par des chercheurs externes en sécurité.
L’une des vulnérabilités (CVE-2026-3913) est classée comme critique, il s’agit d’un débordement de tampon dans le composant WebML. Tobias Wienand, le découvreur de cette vulnérabilité, a été récompensé de 33 000 $ pour cela. Il a également reçu 43 000 $ supplémentaires pour CVE-2026-3915, un autre débordement de tampon WebML (bien que celui-ci soit uniquement classé comme à haut risque).
Onze vulnérabilités en matière de sécurité ont été identifiées comme présentant un risque élevé et onze autres comme présentant un risque moyen. Google a jusqu’à présent accordé plus de 200 000 $ à ceux qui ont découvert ces vulnérabilités. Dans certains cas, Google n’a pas encore déterminé le montant de leurs récompenses respectives.
