Google patches sixth Chrome zero-day exploited in attacks this year
Mis à jour :
Sixième Vulnérabilité Critique de Chrome Déjà Exploité cette Année
Google a corrigé une sixième faille de sécurité zero-day dans son navigateur Chrome, victime d’exploitation active en 2025. Cette vulnérabilité, identifiée sous la référence CVE-2025-10585, affecte le moteur JavaScript V8 et est causée par une faiblesse de type confusion. Le groupe d’analyse des menaces de Google a signalé cette faille, souvent exploitée par des acteurs étatiques dans des campagnes de spyware visant des individus à haut risque comme des opposants politiques, des dissidents et des journalistes.
Des versions mises à jour de Chrome (140.0.7339.185/.186 pour Windows/Mac, et 140.0.7339.185 pour Linux) ont été déployées. Bien que Chrome se mette à jour automatiquement, il est recommandé de vérifier et de relancer le navigateur pour appliquer immédiatement le correctif. Les détails sur l’exploitation en conditions réelles restent restreints jusqu’à ce que la majorité des utilisateurs soient mis à jour.
L’article mentionne d’autres vulnérabilités zero-day corrigées cette année :
- CVE-2025-6558 (Juillet) : Évasion du sandbox du navigateur.
- CVE-2025-4664 (Mai) : Permettait le détournement de comptes.
- CVE-2025-5419 (Juin) : Faiblesse de lecture/écriture hors limites dans le moteur V8.
- CVE-2025-2783 (Mars) : Évasion du sandbox utilisée dans des attaques d’espionnage.
Ces corrections soulignent une recrudescence des menaces visant spécifiquement Chrome, avec un total de dix vulnérabilités zero-day corrigées en 2025, en plus de celles corrigées l’année précédente.