CVE-2026-7896 : RCE critique Chrome Blink integer overflow (9.6)

Les faits

Google a publié le 6 mai 2026 la version stable Chrome 148.0.7778.96 corrigeant 127 vulnérabilités de sécurité, dont trois classées critiques. Au sommet de cette pile se trouve CVE-2026-7896, une faille d'integer overflow dans Blink, le moteur de rendu HTML utilisé par Chromium. Avec un score CVSS v3.1 de 9.6, il s'agit du bug navigateur le plus sévère divulgué publiquement depuis le début de l'année 2026, devançant les vulnérabilités V8 traditionnelles par sa fiabilité d'exploitation.

Le vecteur d'attaque est purement réseau et ne nécessite aucune interaction utilisateur au-delà de la visite d'une page web malveillante : AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H. La vulnérabilité a été remontée le 18 mars 2026 par un chercheur externe au programme Vulnerability Reward Program de Google, qui a touché une prime de 43 000 USD, l'un des plus gros bounties Chromium de l'année. La découverte est le fruit d'un fuzzing dirigé sur les routines de calcul de tailles tampons internes au pipeline de rendu.

Techniquement, la faille réside dans une fonction de Blink chargée d'allouer des structures intermédiaires lors du traitement de certains contenus DOM imbriqués. Une multiplication 32 bits non bornée entre deux valeurs contrôlables par le contenu HTML permet de déborder l'entier signé représentant la taille demandée. Le résultat tronqué passe le contrôle de validité aval, mais l'allocateur reçoit une taille bien plus petite que ce que la suite du code va effectivement écrire. Le résultat : une corruption de tas hautement déterministe, exactement le type de primitive recherché par les développeurs d'exploits navigateur.

Contrairement à beaucoup de bugs use-after-free Chromium qui exigent un timing précis, CVE-2026-7896 offre selon les analystes de Securityonline une primitive heap corruption plus fiable, rendant l'exploitation plus déterministe et facilitant le contournement des mitigations modernes telles que MiraclePtr et l'allocation segmentée. La phase suivante d'un exploit complet, sortir du sandbox du processus de rendu, reste nécessaire, mais le sous-bassement de corruption mémoire est désormais public.

Côté divulgation, Google a respecté son embargo de 14 jours, puis a publié l'avis de sécurité le 6 mai 2026 simultanément à la sortie binaire. Microsoft a emboîté le pas en moins de 18 heures avec Edge 148.0.7778.96, Brave Software a poussé Brave 1.78, et Opera ainsi que Vivaldi ont aligné leurs builds dans la foulée. Tous les navigateurs Chromium-based sont affectés tant qu'ils n'ont pas absorbé le correctif amont.

Le 7 mai 2026, soit moins de 24 heures après la publication, un chercheur indépendant a poussé sur GitHub un PoC reproduisant de manière fiable le crash de Chrome 148.0.7778.95 et antérieurs, en délivrant la corruption de tas via une page HTML d'environ 200 lignes. Le PoC ne contient pas de chaîne complète d'exécution de code arbitraire (pas de bypass sandbox), mais il constitue une amorce immédiate pour les rouges teams comme pour les opérateurs malveillants ; les analystes de la threat intelligence considèrent qu'un exploit complet en circulation est désormais une question de jours, pas de semaines.

D'après les notes de version compilées par SecurityWeek et le canal officiel Chrome Releases, les deux autres failles critiques de Chrome 148, CVE-2026-7898 (use-after-free dans Chromoting/Remote Desktop) et CVE-2026-7899 (corruption mémoire V8), sont également corrigées par la même mise à jour. À ce stade, aucune des trois CVE critiques n'a été observée en exploitation in-the-wild selon le Threat Analysis Group de Google, mais l'historique des bugs Blink à fort score CVSS suggère que la fenêtre de calme post-patch est généralement très courte.

Ce correctif s'inscrit dans la série de cumulatifs Chrome 148 pour laquelle Google a versé plus de 100 000 USD de primes, signal d'une attention particulière des chercheurs externes sur la surface Blink/V8. Pour les RSSI, la priorité est claire : Chrome et tous ses dérivés Chromium font partie de la surface d'attaque la plus exposée du poste de travail, et CVE-2026-7896 représente exactement le type de vulnérabilité drive-by qui finit historiquement intégré aux exploit kits et aux campagnes de waterhole APT.

Impact et exposition

L'exposition est maximale : tout poste utilisateur dont le navigateur n'a pas redémarré depuis la publication du correctif reste vulnérable. Chrome représente plus de 65 % de parts de marché desktop, et Edge complète significativement cette couverture sur les flottes Windows entreprise. La vulnérabilité affecte également les WebViews Chromium embarquées dans des applications Electron (Slack, Teams desktop legacy, VS Code) et dans certains clients mobiles hybrides, une dimension souvent oubliée des cycles de patch management classiques.

Les conditions d'exploitation sont particulièrement favorables à l'attaquant : aucune authentification, aucune interaction au-delà du chargement d'une page, et compatibilité avec un scope CHANGED (S:C) signifiant qu'une compromission du processus rendu peut affecter d'autres composants. Une simple iframe malveillante chargée par un site légitime compromis (publicité tierce, dépendance JS, supply chain frontend) suffit à toucher la cible.

L'exploitation in-the-wild n'est pas confirmée à ce jour par Google TAG ni par les vendeurs EDR majeurs. Cependant, la disponibilité publique d'un PoC de corruption mémoire fiable, la prime exceptionnelle versée et l'attractivité historique des bugs Blink pour les acteurs étatiques (Lazarus, APT41, Charming Kitten ont tous utilisé des n-day Chrome dans des campagnes 2024-2025) rendent l'apparition d'un exploit opérationnel quasi certaine à court terme.

Sont particulièrement exposés : les environnements VDI/RDS où la mise à jour navigateur dépend d'un cycle d'image, les postes utilisateurs sans redémarrage forcé, les développeurs lançant des navigateurs dédiés (profiles automation, headless), et les applications Electron embarquées non maintenues activement.

Recommandations immédiates

• Mettre à jour Chrome vers 148.0.7778.96 ou supérieur sur l'ensemble du parc, version cible publiée le 6 mai 2026 (advisory : Google Chrome Releases du 6 mai 2026).
• Mettre à jour Microsoft Edge vers 148.0.7778.96 (advisory : Microsoft Edge Stable Channel Release Notes du 7 mai 2026).
• Pour Brave, Opera, Vivaldi : appliquer la dernière build alignée sur Chromium 148.0.7778.96 (Brave 1.78, Opera 117, Vivaldi 6.10).
• Forcer le redémarrage du navigateur via GPO/Intune (clé RelaunchNotification = 1, RelaunchNotificationPeriod réduit à 24 h).
• Auditer les applications Electron internes et mettre à jour les bundles vers une base Chromium 148+ (commande : grep -r chromiumVersion dans les manifests Electron).
• Vérifier la version réelle déployée : chrome://settings/help côté utilisateur, ou inventaire centralisé via SCCM/Intune/Jamf.
• Activer ou maintenir le Site Isolation strict (déjà par défaut depuis Chrome 67) et envisager Enhanced Safe Browsing en GPO sur les postes à haut risque.