Skip to content
Cyber Breaches
Recherche
Faille zero-dayContenu

Google corrige une faille zero-day activement exploitée dans le moteur V8 de Chrome (CVE-2026-11645)

Google a publié une mise à jour d'urgence de Chrome corrigeant CVE-2026-11645, une faille mémoire de gravité élevée dans le moteur V8 qui permet à une page web piégée d'exécuter du code arbitraire et pour laquelle un exploit circule déjà.

Victime
Google Chrome
SecteurTechnologie
PaysÉtats-Unis
GroupeUnknown
CVECVE-2026-11645

Le 9 juin 2026, Google a publié une mise à jour d'urgence de son navigateur Chrome pour corriger CVE-2026-11645, une faille zero-day de gravité élevée dans le moteur JavaScript et WebAssembly V8 dont l'éditeur reconnaît qu'elle est déjà exploitée dans des attaques. Il s'agit de la cinquième faille zero-day de Chrome corrigée par Google en 2026.

Ce qui s'est passé

CVE-2026-11645 est une lecture et écriture hors limites (out-of-bounds) dans V8, avec un score CVSS de 8,8. En attirant une victime vers une page malveillante, un attaquant distant peut corrompre la mémoire du moteur et exécuter du code arbitraire au sein du processus de rendu de Chrome. Comme à son habitude, Google a indiqué qu'un « exploit pour CVE-2026-11645 existe dans la nature », sans dévoiler davantage de détails techniques afin de laisser aux utilisateurs le temps de se mettre à jour avant que la faille ne soit reconstituée à partir du correctif.

La faille a été signalée le 27 avril 2026 par un chercheur utilisant le pseudonyme « 303f06e3 », qui a reçu une prime de 55 000 dollars. Google l'a corrigée dans les versions Chrome Stable 149.0.7827.102/.103 pour Windows et macOS et 149.0.7827.102 pour Linux, le déploiement atteignant les utilisateurs au cours des jours suivants.

Pourquoi c'est important

V8 est l'une des surfaces d'attaque les plus visées des navigateurs modernes : un bug de corruption mémoire à cet endroit peut être enchaîné avec une évasion du bac à sable pour donner à un attaquant l'exécution de code sur la machine hôte, ce qui explique pourquoi ces failles sont prisées pour la compromission « drive-by » et la diffusion ciblée de logiciels espions. Avec un exploit déjà en circulation, le délai entre la divulgation de Google et le redémarrage effectif de Chrome par l'utilisateur pour appliquer le correctif constitue précisément la fenêtre que les attaquants cherchent à exploiter — faisant de la mise à jour rapide, y compris des nombreux navigateurs basés sur Chromium qui héritent de V8, la seule véritable mesure d'atténuation.

Chronologie

  1. Un chercheur utilisant le pseudonyme « 303f06e3 » signale la faille à Google, et reçoit par la suite une prime de 55 000 dollars.

  2. Google publie une mise à jour Chrome Stable (149.0.7827.102/.103) et confirme qu'un exploit pour CVE-2026-11645 existe dans la nature.

Sources

  1. thehackernews.comhttps://thehackernews.com/2026/06/chrome-v8-zero-day-cve-2026-11645.html
  2. helpnetsecurity.comhttps://www.helpnetsecurity.com/2026/06/09/google-chrome-zero-day-cve-2026-11645/
  3. socradar.iohttps://socradar.io/blog/cve-2026-11645-chrome-v8-bug/
  4. socprime.comhttps://socprime.com/blog/cve-2026-11645-chrome-zero-day-vulnerability-exploited-in-the-wild/

Incidents liés

Faille zero-dayEn cours

La faille zero-day « RoguePlanet » de Microsoft Defender octroie les privilèges SYSTEM (CVE-2026-47281)

Des chercheurs ont divulgué une faille zero-day d'élévation de privilèges dans Microsoft Defender, baptisée RoguePlanet (CVE-2026-47281), qui exploite une situation de compétition pour détourner une opération de fichier exécutée en tant que SYSTEM et accorder à un attaquant local un accès SYSTEM complet sur des machines Windows à jour.

Victim
Microsoft Defender