Google - CVE-2026-11645
Date de publication :
Il s'agit d'une vulnérabilité dans le moteur JavaScript V8 de Google Chrome.
Google Chrome est un navigateur web développé par Google, basé sur le moteur de rendu Blink et le moteur JavaScript V8. Il est disponible sur Windows, macOS et Linux, et constitue le navigateur le plus utilisé mondialement sur les postes de travail.
Une lecture et une écriture hors limites mémoire (out-of-bounds read and write) peuvent être déclenchées lors du traitement d'une page HTML spécialement conçue. L'exploitation permet d'exécuter du code arbitraire à l'intérieur du bac à sable (sandbox) du processus de rendu. Une interaction utilisateur est requise : la victime doit visiter une page web malveillante. Un exploit actif dans la nature a été confirmé par Google pour cette vulnérabilité.
Elle permet à un attaquant distant d'exécuter du code arbitraire dans le contexte du processus de rendu Chrome, confiné au bac à sable.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-125 : Out-of-bounds Read
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Google Chrome versions antérieures à 149.0.7827.102 sur Linux
• Google Chrome versions antérieures à 149.0.7827.102/.103 sur Windows et macOS
Solutions ou recommandations
• Google Chrome 149.0.7827.102/.103 et supérieures sur Windows et macOS