CVE-2025-6558

Évasion de la sandbox dans Google Chrome corrigée

Une vulnérabilité critique, identifiée sous le nom de CVE-2025-6558, a été découverte dans les versions antérieures à 138.0.7204.157 de Google Chrome. Cette faille, présente dans les composants ANGLE (Almost Native Graphics Layer Engine) et GPU, résulte d’une validation insuffisante des entrées non fiables.

Les chercheurs de Google, Clément Lecigne et Vlad Stolyarov, ont rapporté cette vulnérabilité zero-day le 23 juin 2025. L’exploitation réussie de cette faille permet à un attaquant distant de s’échapper de la sandbox du navigateur via une page HTML spécialement conçue. En exploitant des opérations GPU de bas niveau via ANGLE, qui assure la traduction entre le moteur de rendu de Chrome et les pilotes graphiques, un attaquant peut contourner les protections de sécurité.

Google a confirmé que cette vulnérabilité a été activement exploitée dans la nature et a publié une mise à jour de sécurité pour la corriger.

Points clés:

• Vulnérabilité : CVE-2025-6558
• Logiciel affecté : Google Chrome (versions antérieures à 138.0.7204.157)
• Type de vulnérabilité : Évasion de la sandbox (Sandbox Escape)
• Composants affectés : ANGLE, GPU
• Cause : Validation insuffisante des entrées non fiables
• Attaque possible : Permet à un attaquant distant de s’échapper de la sandbox via une page HTML malveillante.
• Exploitation : Confirmée comme étant activement exploitée dans la nature.
• Découverte : Clément Lecigne et Vlad Stolyarov (Google Threat Analysis Group) le 23 juin 2025.

Recommandations :

• Mettre à jour Google Chrome vers la version 138.0.7204.157 ou une version ultérieure.

Source