Google a récemment déployé une mise à jour importante pour son navigateur Chrome, corrigeant six failles de sécurité, dont une exploitée activement. Cette vulnérabilité critique, identifiée sous le nom de **CVE-2025-6558** avec un score CVSS de 8.8, concerne une validation incorrecte des entrées non fiables dans les composants ANGLE et GPU du navigateur.
Détails sur la vulnérabilité CVE-2025-6558
Selon la base de données des vulnérabilités du NIST, « une validation insuffisante des entrées non fiables dans ANGLE et GPU dans Google Chrome avant la version 138.0.7204.157 a permis à un attaquant distant de potentiellement échapper au bac à sable via une page HTML spécialement conçue ». ANGLE, ou « Almost Native Graphics Layer Engine », sert de couche de traduction entre le moteur de rendu de Chrome et les pilotes graphiques spécifiques aux appareils.
Les failles présentes dans ce module peuvent permettre aux attaquants de sortir du bac à sable de Chrome en abusant d’opérations GPU de bas niveau que les navigateurs gardent généralement isolées, offrant ainsi un accès plus profond au système.
Risques liés à l’évasion du bac à sable
Pour la majorité des utilisateurs, une évasion du bac à sable signifie que la visite d’un site malveillant peut suffire à briser la bulle de sécurité du navigateur et à interagir avec le système sous-jacent. Cela est particulièrement critique lors d’attaques ciblées, où l’ouverture d’une page Web peut déclencher un compromis silencieux sans nécessiter de téléchargement ou de clic.
Historique des découvertes
Clément Lecigne et Vlad Stolyarov, de l’équipe d’analyse des menaces de Google, ont été crédités de la découverte et du rapport de cette vulnérabilité le 23 juin 2025. Bien que la nature exacte des attaques exploitant cette faille n’ait pas été divulguée, Google a confirmé qu’un « exploitation de CVE-2025-6558 existe dans la nature ». Cela suggère une possible implication d’États-nations dans ces attaques.
Mise à jour et recommandations
Pour se protéger contre ces menaces potentielles, il est conseillé de mettre à jour le navigateur Chrome vers les versions 138.0.7204.157/.158 pour Windows et macOS, et 138.0.7204.157 pour Linux. Les utilisateurs peuvent vérifier les mises à jour en se rendant dans Plus > Aide > À propos de Google Chrome, puis en sélectionnant Relancer.
Conseils pour les utilisateurs de navigateurs Chromium
Les utilisateurs d’autres navigateurs basés sur Chromium, tels que Microsoft Edge, Brave, Opera et Vivaldi, sont également invités à appliquer les correctifs dès qu’ils deviennent disponibles. Les problèmes liés à ce type de vulnérabilités tombent souvent dans des catégories plus larges telles que les évasions de bac à sable GPU, les bugs liés aux shaders ou les vulnérabilités WebGL.