Cyber Sécurité

Mettre à jour Google Chrome pour corriger le jour zéro exploité activement (CVE-2025-6558)

Christophe

Pour la cinquième fois cette année, Google a corrigé une vulnérabilité chromée (CVE-2025-6558) exploitée par les attaquants dans la nature.

Sur CVE-2025-6558

Le CVE-2025-6558 est une vulnérabilité à haute sévérité qui découle d’une validation incorrecte de l’entrée non fiable dans l’angle – le moteur de couche graphique presque natif utilisé par le navigateur – et GPU, l’unité de traitement graphique de Chrome qui accélère les tâches de rendu.

Rapporté le 23 juin par Google Menkey Analysis Group Researchers Clerment Lecigne et Vlad Stolyarov, CVE-2025-6558 est apparemment activement exploité par les attaquants pour échapper au bac à sable de Chrome – la fonctionnalité de sécurité qui isole chaque onglet de navigateur et le plugin dans un processus distinct, restreint ce que les sites Web malveillants peuvent faire, et limitent l’impact potentiel des autres vulnerabilités de sécurité.

Selon l’entrée CVE de NIST, pour déclencher la faille, les utilisateurs ciblés devraient être trompés pour visiter une page HTML spécialement conçue.

Google n’a pas dit quel est l’objectif ultime des attaquants, mais étant donné que Google Tag a signalé le défaut, il est probable que la vulnérabilité soit exploitée par des acteurs de la menace parrainés par l’État ou des vendeurs de logiciels spymétriques mercenaires.

Obtenez la mise à jour

CVE-2025-6558 et deux autres défauts – CVE-2025-7656, un bogue de débordement entier dans le moteur V8, et CVE-2025-7657, un défaut sans utilisateur après la fonctionnalité WebBrTC – Affect:

  • Google Chrome pour Windows et MacOS avant V138.0.7204.157 / .158
  • Google Chrome pour Linux avant V138.0.7204.157

Cette nouvelle version sera déployée dans les prochains jours et semaines, et les utilisateurs feraient bien de mettre à niveau dès que possible. (Si vous avez la fonction de mise à jour automatique activée, il vous suffit de redémarrer le navigateur une fois la mise à jour disponible.)

A LIRE AUSSI :  Le qui, le où et le comment des attaques APT – Semaine en sécurité avec Tony Anscombe

«Microsoft est conscient des récents exploits existants dans la nature. Nous travaillons activement à la publication d’une correction de sécurité [for the Chromium-based Edge browser]», A déclaré mardi la société basée à Redmond.

D’autres navigateurs basés sur le chrome – Brave, Opera, Vivaldi – devraient obtenir des correctifs pour ce jour zéro bientôt.

Abonnez-vous à notre alerte e-mail de Breaking News pour ne jamais manquer les dernières violations, vulnérabilités et menaces de cybersécurité. Abonnez-vous ici!

Partager cet Article
Article Précédent Zynga Boss dit que Star Wars Hunters n’était “pas d’échec” malgré une fermeture imminente
Article Suivant Ce sera le nom du navigateur rumeur d’Openai – Computerworld

Vous pourriez aussi aimer

Quitter la version mobile