Google Chrome corrige un bug GPU de jour zéro exploité dans la nature

HomeNews* Google a publié des correctifs pour six failles de sécurité dans Chrome, y compris une vulnérabilité critique de type zero-day exploitée activement.

• Le problème de haute gravité, CVE-2025-6558, permet aux attaquants de contourner les protections du navigateur grâce à une faille dans les composants ANGLE et GPU.
• La vulnérabilité peut conduire à une "évasion de bac à sable", permettant aux attaquants distants d'accéder au système d'un utilisateur via un site Web malveillant.
• Des chercheurs du Groupe d'Analyse des Menaces de Google ont identifié la faille, et des rapports suggèrent une possible implication d'acteurs étatiques.
• Les utilisateurs sont conseillés de mettre à jour Chrome et les navigateurs basés sur Chromium immédiatement pour rester protégés. Le 16 juillet 2025, Google a publié des mises à jour de sécurité pour son navigateur web Chrome afin de corriger six vulnérabilités, dont l'une a déjà été exploitée par des attaquants. La faille la plus grave, identifiée comme CVE-2025-6558, affecte la gestion des opérations graphiques par le navigateur et peut permettre aux attaquants de contourner les protections de sécurité de Chrome.

• Publicité - Selon la Base de données nationale des vulnérabilités, « La validation insuffisante des entrées non fiables dans ANGLE et GPU dans Google Chrome avant la version 138.0.7204.157 a permis à un attaquant distant de potentiellement réaliser une évasion du bac à sable via une page HTML manipulée. » Le défaut a été signalé pour la première fois par Clément Lecigne et Vlad Stolyarov du Groupe d'analyse des menaces de Google (TAG) le 23 juin 2025.

Le composant ANGLE (Almost Native Graphics Layer Engine) agit comme un pont entre les processus de rendu de Chrome et les pilotes graphiques d'un ordinateur. Cette vulnérabilité permet aux attaquants d'utiliser un site Web spécialement conçu pour sortir de l'environnement restreint du navigateur. « Un exploit pour CVE-2025-6558 existe dans la nature, » Google a confirmé dans un post officiel, suggérant un ciblage possible par des attaquants avancés.

L'entreprise a résolu un problème de type zero-day similaire, CVE-2025-6554, deux semaines plus tôt, également rapporté par Lecigne. Au total, Google a corrigé cinq bugs zero-day de Chrome jusqu'à présent cette année, y compris CVE-2025-2783, CVE-2025-4664, CVE-2025-5419 et CVE-2025-6554.

Google recommande aux utilisateurs de mettre à jour leurs navigateurs vers les versions 138.0.7204.157 ou .158 pour Windows et macOS, et 138.0.7204.157 pour Linux. Les utilisateurs doivent aller dans Plus > Aide > À propos de Google Chrome et sélectionner Relancer pour s'assurer que les dernières mises à jour sont installées. Les corrections s'appliquent également à d'autres navigateurs basés sur Chromium, tels que Microsoft Edge, Brave, Opera et Vivaldi lorsque des mises à jour sont disponibles.

Les experts en sécurité mettent en garde contre le fait que les vulnérabilités dans les composants graphiques des navigateurs réapparaissent souvent lors d'attaques ciblées. Ils conseillent aux utilisateurs de rester vigilants pour d'autres mises à jour de navigateur et correctifs de sécurité.

Articles Précédents :

• Citigroup prêt à lancer le Citi Stablecoin, vise la garde de crypto-monnaies ensuite
• Les dirigeants britanniques abordent les stablecoins, exhortent à l'innovation en matière de paiement à Mansion House
• Shaurya dirige l'équipe de données cryptographiques, investit dans plus de 30 tokens DeFi
• La Chambre des représentants des États-Unis échoue à adopter les lois sur le génie crypto, la clarté et l'anti-CBDC.
• La révolte des républicains de la Chambre bloque les projets de loi sur la crypto soutenus par Trump dans un affrontement clé

• Publicité -