La sécurité informatique ne connaît pas de répit, surtout quand il s’agit d’un navigateur aussi utilisé que Google Chrome. Moins de deux semaines après une alerte critique, Google publie une nouvelle mise à jour pour corriger deux failles sérieuses.
Ce correctif concerne toutes les plateformes et cible en priorité le moteur JavaScript V8 ainsi qu’un composant d’analyse interne. Si vous n’avez pas encore vérifié votre version de Chrome, le moment est venu de passer à l’action. Le rythme des mises à jour s’accélère et souligne l’importance d’une vigilance constante face aux failles potentielles.
La première faille, baptisée CVE-2025-6191, a été signalée fin mai et affecte le célèbre moteur V8, responsable de l’exécution du JavaScript dans Chrome. En cause, un dépassement d’entier : une opération mathématique dans le code peut générer une valeur trop grande pour être stockée, perturbant l’allocation de la mémoire. Dans certains cas extrêmes, ce type de bug peut permettre à un attaquant de lire ou de modifier des informations en dehors des zones prévues, voire d’injecter du code malveillant. C’est précisément ce qui fait la dangerosité de cette vulnérabilité, car elle menace l’intégrité des sessions de navigation sur des pages web piégées.
La seconde faille, référencée CVE-2025-6192, a été repérée le 31 mai dans le composant Profiler, outil utilisé par Chrome pour surveiller ses propres performances. Ici, il s’agit d’un bug « use-after-free », qui survient lorsque le navigateur accède à un emplacement mémoire déjà libéré. Cette erreur peut générer des comportements instables, des détournements de données ou, dans certains scénarios, permettre à un pirate de prendre le contrôle du navigateur. Même si ce type de vulnérabilité paraît classique, il reste très prisé par les cybercriminels, car il offre de multiples portes d’entrée vers le système.
| Nom de la faille | Composant concerné | Type de vulnérabilité | Risque principal |
|---|---|---|---|
| CVE-2025-6191 | V8 (JavaScript) | Dépassement d’entier | Exécution de code malveillant |
| CVE-2025-6192 | Profiler | Use-after-free | Instabilité ou prise de contrôle |
On pourrait s’inquiéter de voir le moteur V8 si souvent ciblé, mais cela s’explique par sa nature : il traite des milliards d’opérations à la seconde, avec du code parfois non sécurisé provenant du web. La complexité du JavaScript, combinée aux optimisations apportées en temps réel, crée un contexte propice à l’apparition de bugs subtils. Même avec des systèmes de protection avancés, l’allocation dynamique de la mémoire dans les navigateurs reste une source régulière de failles.
Les bugs « use-after-free » sont eux aussi courants dans l’univers des logiciels complexes. Le fait d’accéder à des espaces mémoire déjà libérés expose à des risques imprévus, surtout si un pirate parvient à anticiper ou influencer ce qui se retrouve à cet endroit.
Aucun signe d’exploitation active de ces deux failles n’a été relevé, contrairement à la vulnérabilité zero-day colmatée début juin. Cependant, cela ne signifie pas qu’il faille relâcher sa vigilance. Google rappelle que la meilleure défense reste la rapidité des mises à jour : dès qu’un correctif est disponible, il doit être installé sans délai pour limiter toute exposition. Pensez à vérifier régulièrement la version de votre navigateur via le menu « À propos de Google Chrome ». Prendre cette habitude protège vos données, mais contribue aussi à la sécurité de l’ensemble de l’écosystème web.
