En résumé:
- Google a publié des mises à jour urgentes de Chrome (versions 143.0.7499.109/101) pour corriger trois vulnérabilités, dont une exploitation active de 0 jour classée à haut risque.
- PCWorld signale que les utilisateurs doivent mettre à jour manuellement Chrome via « Aide » > « À propos de Google Chrome » si les mises à jour automatiques n’ont pas eu lieu, des correctifs étant également disponibles pour les versions Android et iOS.
- D’autres navigateurs basés sur Chromium comme Microsoft Edge et Brave ont été mis à jour vers Chromium 143, tandis qu’Opera peut avoir besoin de correctifs pour la vulnérabilité de 0 jour.
Google a corrigé trois vulnérabilités dans les nouvelles versions de Chrome 143.0.7499.109/101 pour Windows et macOS et 143.0.7499.109 pour Linux. Selon Google, l’une de ces vulnérabilités est déjà exploitée pour des attaques. La sortie de la nouvelle version de Chrome sera retardée d’un jour. Les fabricants d’autres navigateurs basés sur Chromium emboîteront le pas dans les prochains jours ; Vivaldi a déjà lancé une mise à jour.
Srinivas Sista n’a pas initialement publié la section « Correctifs de sécurité et récompenses » dans le blog Chrome Release. Cela s’est produit à plusieurs reprises au cours des dernières semaines (y compris la semaine précédente) – trop souvent pour être un oubli. Seulement une demi-journée plus tard, il répertorie les failles de sécurité qui ont été corrigées, qui ont toutes été apparemment signalées à Google par des chercheurs externes.
Google classe l’une de ces vulnérabilités comme à haut risque. Cependant, il n’y a toujours aucun détail sur la vulnérabilité. Il dit succinctement : « (466192044) Élevé : Sous coordination. » Jusqu’à présent, il n’existe ni numéro CVE ni informations sur le type de vulnérabilité ou le composant vulnérable. La seule chose qui est claire pour l’instant est qu’il s’agit d’une vulnérabilité de 0 jour. De plus amples informations devraient donc suivre prochainement. Les deux autres vulnérabilités sont classées à risque moyen.
Le 2 décembre, Google a publié avec un certain retard la nouvelle version majeure 143 de Chrome, qui corrige plusieurs vulnérabilités. Chrome se met généralement à jour automatiquement lorsqu’une nouvelle version est disponible. Vous pouvez lancer manuellement la vérification des mises à jour à l’aide de l’élément de menu « Aide » À propos de Google Chrome. Google a également fourni Chrome pour Android 143.0.7499.1092 et Chrome pour iOS 143.0.7499.108. Les mêmes vulnérabilités ont été corrigées dans la version Android et dans les versions de bureau. Le canal stable étendu pour Windows et macOS contient désormais la version Chromium 142.0.7499.235. Google ne prévoit pas de sortir Chrome 144 avant janvier 2026.
Autres navigateurs basés sur Chromium
Les fabricants d’autres navigateurs basés sur Chromium sont désormais invités à emboîter le pas rapidement en proposant des mises à jour. Microsoft Edge et Brave ont terminé le passage à Chromium 143 et sont au niveau de sécurité de la semaine dernière.
Vivaldi ignore généralement les versions impaires de Chromium (telles que 143) et s’appuie plutôt sur le canal de version étendue de la version précédente. Cependant, la mise à jour de Vivaldi 7.7.3851.61, qui n’a été fournie que comme correctif de bug le 10 décembre, contient déjà Chromium 142.0.7444.237. Cette version de Chromium date également du 10 décembre et devrait donc combler toutes les failles de sécurité connues, dans la mesure où elles affectent Chromium 142.
La version 125 du navigateur Opera, sortie le 4 décembre et basée sur la version 141 de Chromium, a dans un premier temps encore réduit l’écart avec la concurrence. Si l’intervalle de 0 jour mentionné ci-dessus devait également affecter Chromium 141, les développeurs d’Opera s’efforceraient sans aucun doute de rétroporter le correctif vers Chromium 141.
