Google Fixes Two Chrome Zero-Days Exploited in the Wild Affecting Skia and V8

Correction critique de deux vulnérabilités Zero-Day sur Google Chrome

Google a publié des mises à jour de sécurité urgentes pour corriger deux vulnérabilités critiques exploitées activement dans la nature. Ces failles permettent à des attaquants distants de compromettre la sécurité via des pages web spécialement conçues.

Points clés :

• Les vulnérabilités ont été identifiées et rapportées par les équipes de Google le 10 mars 2026.
• La CISA a intégré ces failles à son catalogue Known Exploited Vulnerabilities (KEV), imposant aux agences fédérales américaines une correction avant le 27 mars 2026.
• Trois failles « zero-day » ont été corrigées par Google depuis le début de l’année 2026.

Vulnérabilités :

• CVE-2026-3909 (Score CVSS 8.8) : Problème d’écriture hors limites (out-of-bounds write) dans la bibliothèque graphique Skia 2D, autorisant un accès mémoire non autorisé.
• CVE-2026-3910 (Score CVSS 8.8) : Implémentation inappropriée dans le moteur JavaScript/WebAssembly V8, permettant l’exécution de code arbitraire au sein du bac à sable (sandbox).

Recommandations :

• Mise à jour immédiate : Passer à la version 146.0.7680.75/76 (Windows/macOS) ou 146.0.7680.75 (Linux). La mise à jour est accessible via le menu Aide > À propos de Google Chrome.
• Navigateurs tiers : Les utilisateurs de navigateurs basés sur Chromium (Edge, Brave, Opera, Vivaldi) doivent appliquer les correctifs dès leur disponibilité par leurs éditeurs respectifs.

Source