Google - CVE-2026-13967

Date de publication :

Il s'agit d'une vulnérabilité de confusion de type dans le moteur V8 de Google Chrome.

Google Chrome est un navigateur web multiplateforme basé sur le moteur de rendu Blink et le moteur JavaScript V8. Il est utilisé pour la navigation sur Internet et l'exécution d'applications web sur postes Windows, macOS et Linux.

Le moteur interprète à tort une structure de données d'un certain type comme si elle appartenait à un type différent, ce qui conduit à une corruption mémoire lors de l'exécution de code JavaScript. Le déclenchement se fait via une page HTML spécialement construite, sans nécessiter de privilège particulier de la part de la victime au-delà de la simple consultation de la page.

Elle permet une exécution de code arbitraire, confinée dans le bac à sable (sandbox) du processus de rendu.

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-843 : Access of Resource Using Incompatible Type ('Type Confusion')

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Contournement provisoire

•   Google Chrome versions antérieures à 150.0.7871.46 (Linux)
•   Google Chrome versions antérieures à 150.0.7871.47 (Windows et Mac)

Solutions ou recommandations

•   Google Chrome versions 150.0.7871.46 et supérieures (Linux).
•   Google Chrome versions 150.0.7871.47 et supérieures (Windows et Mac).