Google patches first Chrome zero-day exploited in attacks this year

Mise à jour d’urgence de Chrome contre une faille zero-day exploitée

Google a publié des correctifs pour une vulnérabilité critique dans son navigateur Chrome, exploitée activement par des attaquants. Il s’agit de la première faille zero-day corrigée cette année.

Points clés :

• Une vulnérabilité de type “use-after-free” a été découverte dans l’implémentation CSS font feature values de Chrome.
• Cette faille permettait aux attaquants de provoquer des plantages du navigateur, des problèmes d’affichage, la corruption de données ou d’autres comportements imprévus.
• Bien que le correctif vise le problème immédiat, des travaux supplémentaires sont prévus, suggérant une possible solution temporaire ou des problèmes connexes à adresser.
• La mise à jour a été “cherry-picked” (rétroportée) pour une intégration rapide dans la version stable, signe de son exploitation en cours.
• Google n’a pas divulgué de détails sur les incidents d’exploitation spécifiques, restreignant l’accès aux informations de sécurité jusqu’à ce qu’une majorité d’utilisateurs aient appliqué le correctif.

Vulnérabilité :

• CVE : CVE-2026-2441
• Type : Use-after-free (liée à un bug d’invalidation d’itérateur dans CSSFontFeatureValuesMap)

Recommandations :

• Mettre à jour Google Chrome vers les dernières versions disponibles (versions spécifiques mentionnées dans l’article pour Windows, macOS et Linux).
• Autoriser Chrome à rechercher et installer automatiquement les mises à jour après le prochain redémarrage.

Source