Une vulnérabilité Zero-Day critique référencée CVE-2026-11645 affecte le moteur JavaScript V8 de Google Chrome. Exploitée activement avant la publication du correctif, elle permet l’exécution de code malveillant à distance via la simple visite d’une page web piégée (attaque drive-by).

Le moteur V8 : cœur de Chrome et des navigateurs modernes

V8 est le moteur JavaScript open-source développé par Google, utilisé dans Chrome, Microsoft Edge (via Chromium), et de nombreux autres navigateurs et environnements d’exécution comme Node.js. Les vulnérabilités affectant V8 ont donc un impact potentiel sur des milliards d’utilisateurs à travers de multiples navigateurs. Les exploits ciblant V8 sont particulièrement prisés car ils permettent des attaques drive-by : la simple visite d’une page web malveillante ou compromise suffit à déclencher l’exploitation, sans aucune action supplémentaire de l’utilisateur. Les vecteurs de diffusion incluent les publicités malveillantes, sites compromis, emails avec liens, et QR codes.

La vulnérabilité CVE-2026-11645 affecte le moteur JavaScript V8 de Google Chrome et repose sur une erreur de gestion de mémoire permettant un accès non autorisé à certaines zones de mémoire du navigateur. Un attaquant peut exploiter cette faille en intégrant un code JavaScript spécialement conçu dans une page web piégée. Lorsqu’un utilisateur visite cette page avec une version vulnérable de Chrome, le moteur V8 traite incorrectement certaines données, provoquant une corruption mémoire susceptible d’entraîner l’exécution de code malveillant. Cette attaque, dite “drive-by”, ne nécessite aucune action particulière de la victime autre que la consultation du site compromis. En raison de son exploitation active avant la publication du correctif, cette vulnérabilité représente un risque élevé pour les utilisateurs et les organisations n’ayant pas encore mis à jour leur navigateur.

Exploitation active et réponse de Google

CVE-2026-11645 a été exploitée activement avant la publication du correctif (in-the-wild exploitation), signifiant que des attaquants réels ont utilisé cette faille pour compromettre des systèmes avant que Google puisse la corriger. Google a déployé un correctif d’urgence. Un redémarrage du navigateur est nécessaire pour que la mise à jour soit appliquée.

 

Recommandations clés

  • Vérifier immédiatement la version de Chrome (Menu > Aide > À propos de Google Chrome) et mettre à jour
  • Redémarrer Chrome après chaque mise à jour pour que les correctifs soient effectifs
  • Mettre à jour tous les navigateurs basés sur Chromium : Edge, Brave, Opera, Vivaldi
  • Sensibiliser les utilisateurs à ne pas cliquer sur des liens non sollicités ni scanner des QR codes inconnus
  • Envisager des extensions de filtrage de contenu (uBlock Origin) pour réduire l’exposition aux malvertising
  • Maintenir un inventaire des versions de logiciels déployés pour réagir rapidement aux alertes

Articles Similaires