Google - CVE-2026-15903

Date de publication :

Il s'agit d'une vulnérabilité de lecture et écriture hors limites dans le moteur V8 de Google Chrome.

Le moteur V8 gère l'exécution du code JavaScript et WebAssembly contenu dans les pages web. Un attaquant peut concevoir une page HTML spécialement conçue qui, une fois chargée par la victime, provoque un accès mémoire en dehors des limites d'un tampon alloué. Cet accès erroné peut entraîner une corruption de la mémoire du processus de rendu, ouvrant la voie à une exécution de code arbitraire confinée au bac à sable (sandbox) du navigateur. L'exploitation nécessite qu'un utilisateur consulte la page piégée, sans autre action complémentaire requise. Google indique conserver les détails techniques du correctif sous restriction tant qu'une majorité d'utilisateurs n'a pas déployé la mise à jour.

Elle permet une exécution de code arbitraire au sein du bac à sable du navigateur.

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-787 : Out-of-bounds Write

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   Google Chrome versions antérieures à 150.0.7871.128 (Windows, Linux)
•   Google Chrome versions antérieures à 150.0.7871.129 (Mac)

Solutions ou recommandations

•   Google Chrome versions 150.0.7871.128 et supérieures (Windows, Linux)
•   Google Chrome versions 150.0.7871.129 et supérieures (Mac)