CVE-2025-6554
Mis à jour :
Exploitation d’une vulnérabilité critique dans le moteur V8
Une faille de sécurité majeure, identifiée sous la référence CVE-2025-6554, a été découverte dans le moteur JavaScript V8, composant essentiel des navigateurs basés sur Chromium comme Chrome. Cette vulnérabilité de type “confusion de type” permet à des attaquants à distance, sans authentification préalable, d’exploiter des pages web spécialement conçues pour tromper le moteur V8.
Impact et exploitation :
L’exploitation réussie de cette faille peut entraîner une mauvaise interprétation des types de mémoire par V8, ouvrant la porte à des opérations de lecture et d’écriture arbitraires dans la mémoire. Dans certaines conditions, cela peut mener à une exécution de code à distance complète sur le système de la victime. Google a confirmé que cette vulnérabilité est activement exploitée dans la nature, qualifiant celle-ci de “zero-day” avant sa correction.
Points clés :
- Vulnérabilité : Confusion de type dans le moteur V8.
- CVE : CVE-2025-6554.
- Atténuation : Exploitable à distance, sans authentification.
- Conséquence : Lecture/écriture arbitraire en mémoire, potentiellement exécution de code à distance.
- Exploitation active : La faille est déjà utilisée par des attaquants.
- Découverte : Par Clément Lecigne (Google TAG) le 25 juin 2025.
Recommandations :
Une mise à jour de sécurité a été publiée par Google pour Chrome afin de corriger cette vulnérabilité. Il est fortement recommandé aux utilisateurs de mettre à jour leur navigateur Chrome ou tout autre navigateur basé sur Chromium vers la dernière version disponible afin de se protéger contre cette menace.