Google - CVE-2026-5281

Date de publication : 01/04/2026

Il s'agit d'une vulnérabilité de type use-after-free dans le composant Dawn (implémentation WebGPU) de Google Chrome.

Elle survient lorsqu'un objet ou une région mémoire associé à des opérations WebGPU est libéré alors que des références à ce pointeur persistent dans d'autres parties du code. Un attaquant distant ayant préalablement compromis le processus renderer peut déclencher cette corruption mémoire via une page HTML spécialement forgée, conduisant à une écriture en mémoire arbitraire dans le processus GPU.

Elle permet l'exécution de code arbitraire hors du sandbox du renderer.

CVE-2026-5281

[Score CVSS v3.1 : 8.8]

Informations

La faille est activement exploitée : Oui

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-416 : Use After Free

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Élevée
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

• Google Chrome versions antérieures à 146.0.7680.178 (Windows/Mac)
• Google Chrome versions antérieures à 146.0.7680.177 (Linux)

Contournement provisoire

En cas d'impossibilité de mise à jour immédiate, désactiver WebGPU via la stratégie d'entreprise Chrome (WebGPUEnabled = false). Cette mesure peut impacter les applications web s'appuyant sur WebGPU.

Solutions ou recommandations

• Google Chrome versions 146.0.7680.178 et supérieures (Windows/Mac)
• Google Chrome versions 146.0.7680.177 et supérieures (Linux)