ALERTE Google : Une 4e faille zero-day frappe Chrome en 2025

Google a publié en urgence une mise à jour de Chrome pour colmater une faille de sécurité critique activement exploitée. Il s’agit de la quatrième vulnérabilité zero-day détectée dans le navigateur depuis le début de l’année 2025. Ces correctifs illustrent l’intensité croissante des attaques ciblant les navigateurs, devenus des vecteurs privilégiés pour l’injection de code malveillant. Ce nouvel incident renforce l’attention portée à la réactivité des éditeurs face aux menaces identifiées sur des composants majeurs du web.

Une faille critique dans le moteur javascript v8 exploitée par des acteurs malveillants

La faille référencée CVE-2025-6554 est qualifiée de haute gravité. Détectée par Clément Lecigne, chercheur du Threat Analysis Group (TAG) de Google, elle a été signalée le 26 juin 2025, puis corrigée dès le lendemain. Elle concerne un problème de confusion de type dans V8, le moteur JavaScript de Chrome, utilisé notamment pour l’exécution des scripts dans les pages web. Cette faiblesse peut entraîner des lectures ou écritures hors des limites de la mémoire, ouvrant la voie à l’exécution de code arbitraire.

Ce type de vulnérabilité peut être exploité pour prendre le contrôle du système ciblé, comme l’indique Google dans son avis de sécurité. L’entreprise a confirmé que des attaques actives exploitant cette brèche avaient déjà été observées « in the wild », sans en divulguer les modalités précises. Afin de limiter les risques, les détails techniques restent temporairement restreints, spécifiquement si des bibliothèques tierces restent vulnérables.

Chrome 138 Update Patches Zero-Day Vulnerability https://www.securityweek.com/chrome-138-update-patches-zero-day-vulnerability/ #Vulnerabilities #exploited #ZeroDay #Chrome

— Pyrzout :vm: (@jos1264.social.skynetcloud.site.ap.brid.gy) 1 juillet 2025 à 09:25

Une mise à jour déployée sur toutes les plateformes du canal stable

La mise à jour de sécurité a été déployée à partir du 27 juin 2025 sur le canal Stable de Chrome, couvrant toutes les plateformes : Windows (versions 138.0.7204.96/.97), macOS (138.0.7204.92/.93) et Linux (138.0.7204.96). Cette mise à jour intervient quelques semaines après la correction d’autres failles critiques, spécialement CVE-2025-2783, CVE-2025-4664 et une autre vulnérabilité touchant également V8.

Les utilisateurs peuvent appliquer le correctif en redémarrant leur navigateur, ou en forçant la mise à jour via le menu À propos de Google Chrome. Même si le déploiement automatique est prévu, Google rappelle que la diffusion complète peut prendre plusieurs jours, voire semaines. Cette réactivité témoigne d’une vigilance accrue de la part de Google, dont l’équipe TAG est régulièrement confrontée à des campagnes d’exploitation ciblées menées par des acteurs étatiques ou des groupes à visée espionne.

Les incidents à répétition en 2025 soulignent l’importance des processus de surveillance proactive et de mise à jour rapide, particulièrement face aux attaques visant les journalistes, opposants politiques et autres profils à haut risque.