Cette faille 0-day est déjà exploitée
Google vient de publier une nouvelle mise à jour de sécurité pour la version stable de Chrome. Elle est importante puisqu’elle corrige une faille critique (0-day) déjà exploitée.
Son installation permet au navigateur d’évoluer en version 138. Ce n’est cependant pas sa seule mission puisque nous avons au total la correction de six vulnérabilités, dont CVE-2025-6558, une faille particulièrement grave touchant le moteur graphique ANGLE et le GPU.
Une faille critique déjà utilisée dans des attaques
Confirmée par Google, la faille CVE-2025-6558 est activement exploitée. Elle repose sur une validation incorrecte d’une entrée non fiable. Correctement utilisée, elle permet à des attaquants d’exécuter du code malveillant. Comme souvent dans les cas de failles 0-day, Google ne communique pas sur les détails techniques, afin de limiter les risques tant que la majorité des utilisateurs n’a pas installé de correctifs.
La mise à jour est en cours de déploiement pour tous les utilisateurs. Elle peut également être installée immédiatement manuellement. Afin de s’assurer que votre navigateur est à jour, il suffit de vérifier son numéro de construction. Ainsi Chrome doit afficher l’une des versions suivantes :
Windows et macOS : 138.0.7204.157 ou 138.0.7204.158
Linux : 138.0.7204.157
Pour vérifier ce nombre et forcer la mise à jour :
Ouvrez Chrome.
Cliquez sur le menu (⋮) > Aide > À propos de Google Chrome.
cette manipulation va forcer Chrome à télécharger automatiquement la dernière mise à jour.
Un redémarrage du navigateur est necessaire pour appliquer les changements.
Sous Windows vous pouvez aussi exécutez
.chrome.exe dans la ligne de commande pour mettre à jour Chrome encore plus rapidement.winget upgrade google
Des conséquences pour les autres navigateurs Chromium
Comme souvent, cette faille pourrait également affecter d’autres navigateurs basés sur Chromium comme Microsoft Edge, Vivaldi, Brave ou Opera. Des mises à jour correctives devraient suivre rapidement. La version Android est aussi visée par ces problèmes de sécurité. Toutefois, la mise à jour est déployée exclusivement via le Google Play Store, sans possibilité d’accélérer son installation manuellement.
Il s’agit déjà de la deuxième faille de type 0-day découverte dans Chrome en 2025, les deux ayant été exploitées activement avant correction. Cela souligne à nouveau l’importance de maintenir son navigateur à jour pour éviter toute exposition aux cyberattaques.
merci à Ginjfo
