Google vient de déployer une mise à jour hors cycle de son navigateur Chrome pour corriger une faille de sécurité jugée critique. Identifiée sous le nom CVE-2025-5419, cette vulnérabilité concerne le moteur JavaScript V8 et permettrait à un site piégé de corrompre la mémoire du navigateur. Problème : la faille est déjà exploitée dans des attaques en cours. Autrement dit, si vous utilisez Chrome (ou un navigateur basé sur Chromium), il est fortement recommandé de faire la mise à jour sans tarder.
Une vulnérabilité critique dans le moteur V8 de Chrome
Découverte le 27 mai 2025 par deux membres du Threat Analysis Group de Google, Clément Lecigne et Benoît Sevens, la faille CVE-2025-5419 affiche un score de sévérité de 8,8 sur 10. Elle se situe dans le moteur V8, utilisé par Chrome pour exécuter du JavaScript et du WebAssembly. En somme, un site piégé peut provoquer une lecture ou une écriture hors des limites de la mémoire, ce qui peut entraîner une corruption du tas. Et comme souvent avec ce genre de brèche, le scénario classique s’applique : exécution de code à distance à travers une page HTML spécialement conçue.
Une mise à jour hors cycle déployée en urgence
Face à la gravité de la situation, Google n’a pas traîné. Moins de 24 heures après le signalement, un premier correctif a été appliqué sous la forme d’un changement de configuration directement poussé sur la version stable de Chrome. Puis, le 2 juin, une mise à jour complète a été diffusée sur tous les systèmes (Windows, macOS et Linux), en dehors du calendrier habituel. Les versions concernées sont les 137.0.7151.68 et .69, selon les plateformes.
Comme à son habitude, Google reste discret sur les détails techniques, histoire d’éviter que d’autres groupes malveillants s’en inspirent tant que la majorité des utilisateurs n’ont pas installé le correctif.
Mettez à jour Chrome (et les autres navigateurs Chromium)
Chrome se met normalement à jour automatiquement, mais mieux vaut vérifier. Pour cela, ouvrez le menu Paramètres > À propos de Google Chrome. La vérification se lance toute seule, et si une mise à jour est disponible, elle sera téléchargée puis appliquée après un simple redémarrage.
Les autres navigateurs basés sur Chromium sont eux aussi concernés. Microsoft Edge, Brave, Vivaldi, Opera… Tous devront intégrer ce correctif dans les jours à venir. Le moteur V8 étant commun à ces navigateurs, la faille CVE-2025-5419 les touche potentiellement de la même manière.
Une mise à jour à ne pas remettre à plus tard
C’est la deuxième fois cette année que Google corrige en urgence une faille activement exploitée dans Chrome. Et ce genre de vulnérabilité, capable d’exécuter du code à distance via une simple page web, n’est jamais à prendre à la légère. Si ce n’est pas encore fait, prenez deux minutes pour mettre à jour votre navigateur. Mieux vaut prévenir que désinstaller Windows après une mauvaise surprise…
Source : Google, The Hacker News