Alerte Sécurité 2025 : Vulnérabilité critique dans Chrome (CVE-2025-5419)

Une vulnérabilité critique a été identifiée dans Google Chrome, affectant le moteur JavaScript V8. Répertoriée sous le numéro CVE-2025-5419, cette faille est activement exploitée et représente un danger majeur pour la sécurité des utilisateurs. Tous les navigateurs basés sur Chromium peuvent également être touchés (Edge, Brave, Opera, Vivaldi, etc.).

Description de la vulnérabilité

La vulnérabilité provient d’une erreur dans le moteur V8, qui permet une lecture et une écriture hors des limites mémoire (out-of-bounds). En manipulant des objets JavaScript spécifiques, un attaquant peut provoquer un comportement imprévu dans la mémoire, menant à un plantage du navigateur ou à l’exécution de code arbitraire sur le système de la victime.

Découverte par le Threat Analysis Group (TAG) de Google, cette faille est activement exploitée dans la nature (zero-day). Elle affecte toutes les versions de Chrome antérieures à la version 137.0.7151.68 (Windows/Linux) et 137.0.7151.69 (macOS).

Versions concernées

Les versions de Chrome antérieures à 137.0.7151.68/69 sont vulnérables. Les autres navigateurs basés sur Chromium (comme Edge ou Brave) devront également être mis à jour dès que leurs développeurs intègrent les correctifs.

Impact et risques

• Exécution de code malveillant lors de la visite d’un site Web piégé
• Compromission complète du système de l’utilisateur
• Accès illégal à des données sensibles via le navigateur
• Exploitation possible en chaîne avec d’autres failles pour une élévation de privilèges

Score de Sévérité (CVSS v4.0)

• Score : 8.8 / 10 (élevé, voire critique selon l’usage)
• Vecteur : Attaque à distance via le Web
• Privilèges requis : Aucun
• Interaction utilisateur : Oui (simple visite d’un site infecté)

Recommandations

• Mettre à jour Google Chrome vers la version 137.0.7151.68/69 immédiatement
• Redémarrer le navigateur après mise à jour pour que le correctif prenne effet
• Surveiller les mises à jour pour Edge, Brave, et autres navigateurs basés sur Chromium
• Mettre en place des solutions EDR/antivirus capables de détecter des comportements anormaux dans les navigateurs
• Limiter les privilèges utilisateurs sur les machines exposées au Web

Sources officielles et ressources complémentaires

• Fiche CVE officielle
• Chrome Release Blog
• Analyse NVD
• Catalogue des vulnérabilités exploitées (CISA)
• Détection via Qualys (QID 383328)

Même les navigateurs les plus populaires peuvent contenir des failles critiques. Maintenir vos outils à jour est la première ligne de défense contre les attaques.