Google corrige deux zero-days Chrome exploités dans la nature : CVE-2026-3909 dans Skia et CVE-2026-3910 dans V8. Mise à jour immédiate recommandée pour tous les navigateurs Chromium.
En bref
- Google corrige deux failles zero-day activement exploitées dans Chrome 146 : CVE-2026-3909 (Skia) et CVE-2026-3910 (V8), toutes deux notées CVSS 8.8
- Tous les utilisateurs Chrome sur Windows, macOS et Linux sont concernés — versions antérieures à 146.0.7680.75
- Mise à jour immédiate requise — CISA a ajouté les deux CVE au catalogue KEV avec échéance au 27 mars 2026
Les faits
Google a publié le 12 mars 2026 une mise à jour de sécurité urgente pour Chrome 146 corrigeant deux vulnérabilités zero-day découvertes en interne et confirmées comme exploitées dans la nature. Les deux failles ont été identifiées par les équipes de sécurité de Google elles-mêmes le 10 mars 2026, signe que l'exploitation était déjà en cours avant la détection (source : Google Chrome Security Blog).
La première vulnérabilité, CVE-2026-3909, est une écriture hors limites (out-of-bounds write) dans la bibliothèque graphique 2D Skia, composant critique du rendu visuel de Chrome. La seconde, CVE-2026-3910, exploite une implémentation inappropriée dans le moteur JavaScript V8, permettant l'exécution de code arbitraire au sein du sandbox du navigateur. Les deux sont exploitables à distance via une simple page HTML piégée, sans interaction utilisateur au-delà de la visite du site (source : The Hacker News, BleepingComputer).
Impact et exposition
Tout utilisateur de Chrome, Chromium, Edge, Brave ou Opera sur desktop est potentiellement exposé. L'exploitation ne nécessite aucune authentification : il suffit de visiter une page web malveillante. La faille Skia permet de corrompre la mémoire lors du rendu graphique, tandis que la faille V8 ouvre la porte à l'exécution de code dans le contexte du processus de rendu. Combinées, ces vulnérabilités pourraient permettre à un attaquant de s'échapper du sandbox navigateur, comme cela a déjà été observé dans des chaînes d'exploitation V8 documentées.
La CISA a réagi rapidement en ajoutant les deux CVE à son catalogue KEV le 13 mars 2026, imposant aux agences fédérales américaines un délai de correction au 27 mars 2026. Cette réactivité illustre la tendance décrite dans notre analyse sur le time-to-exploit des zero-days en 2026.
Recommandations
- Mettre à jour Chrome immédiatement vers la version 146.0.7680.75 (Windows/Linux) ou 146.0.7680.76 (macOS) — vérifier via
chrome://settings/help - Vérifier que les navigateurs basés sur Chromium (Edge, Brave, Opera) ont également publié leurs correctifs et les appliquer
- Activer les mises à jour automatiques de Chrome sur l'ensemble du parc si ce n'est pas déjà fait via GPO ou MDM
- Surveiller les indicateurs de compromission liés à l'exploitation de Skia et V8 dans les journaux réseau
Alerte critique
Ces deux zero-days sont confirmés comme exploités dans la nature. Le délai entre la découverte et le patch n'a été que de 48 heures — mais les attaquants avaient déjà une avance. Si vos navigateurs ne sont pas à jour, vos postes de travail sont exposés à une compromission par simple navigation web.
Les navigateurs autres que Chrome sont-ils aussi vulnérables ?
Oui, tous les navigateurs basés sur Chromium utilisent Skia et V8. Microsoft Edge, Brave, Opera et Vivaldi sont concernés. Vérifiez que chaque navigateur de votre parc a été mis à jour indépendamment. Seul Firefox (moteur Gecko/SpiderMonkey) n'est pas impacté par ces deux CVE spécifiques.
Comment vérifier rapidement la version Chrome sur tout mon parc ?
En environnement Active Directory, utilisez les rapports Chrome Browser Cloud Management ou interrogez le registre Windows via un script de gestion. Sur macOS, mdls ou Jamf peuvent remonter la version. L'essentiel est de confirmer que la version est >= 146.0.7680.75.
Ces failles illustrent une fois de plus que le navigateur reste le vecteur d'attaque numéro un sur les postes de travail. Pour une analyse des techniques d'exploitation navigateur avancées, consultez notre article sur les exploits zero-day ciblant les plateformes mobiles, ainsi que notre couverture des zero-days corrigés lors des Patch Tuesday récents.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditTélécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-0625 : zero-day exploité sur routeurs D-Link obsolètes
CVE-2026-0625 permet l'exécution de commandes à distance sur des routeurs D-Link en fin de vie. Exploitation active depuis novembre 2025. Aucun patch prévu — remplacement requis.
CVE-2026-21385 : Qualcomm corrige un zero-day Android exploité
Google confirme l'exploitation ciblée de CVE-2026-21385, une faille Qualcomm affectant plus de 200 chipsets Android. Correctif disponible dans le bulletin de mars 2026.
Mistral lance Voxtral TTS, modèle vocal open source à 4B
Mistral AI publie Voxtral TTS, un modèle text-to-speech open weight de 4B paramètres supportant 9 langues avec 90 ms de latence et clonage vocal.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire