Google a récemment lancé des mises à jour pour résoudre six problèmes de sécurité dans son navigateur Chrome, mettant en avant une vulnérabilité critique classée comme CVE-2025-6558, qui a déjà été exploitée dans le monde réel. Ce défaut de haute sévérité a un score CVSS de 8.8 et est lié à la validation incorrecte des entrées non fiables dans les composants ANGLE et GPU de Chrome.
Une vulnérabilité critique du navigateur
La vulnérabilité permet à un attaquant distant de contourner les restrictions de sécurité du navigateur via une page HTML malveillante. Cela pourrait compromettre des systèmes sans que les utilisateurs aient besoin de télécharger ou d’interagir davantage. La vulnérabilité a été découverte par Clément Lecigne et Vlad Stolyarov du Groupe d’Analyse des Menaces de Google le 23 juin 2025 et est considérée comme un risque particulier, car elle peut entraîner une fuite de sandbox, ce qui donnerait accès à des opérations de bas niveau et potentiellement aux systèmes de l’utilisateur.
Bien que Google n’ait pas révélé la nature exacte des attaques exploitant cette faille, il est reconnu qu’un « exploit pour CVE-2025-6558 existe dans la nature », ce qui suggère la possibilité d’une implication d’acteurs étatiques. Cette annonce intervient peu après que Google ait abordé une autre vulnérabilité de Chrome (CVE-2025-6554) qui avait également un fort potentiel d’exploitation.
Depuis le début de l’année, Google a corrigé cinq vulnérabilités critiques dans Chrome qui ont été activement exploitées ou qui ont été démontrées comme des preuves de concept. Pour se protéger contre d’éventuelles menaces, il est recommandé aux utilisateurs de mettre à jour leur navigateur Chrome vers les versions 138.0.7204.157 et 138.0.7204.158 pour Windows et macOS, et 138.0.7204.157 pour Linux. Les utilisateurs d’autres navigateurs basés sur Chromium, comme Microsoft Edge et Brave, doivent également appliquer les correctifs disponibles.
