Vulnerability in Google Chrome CVE-2026-12016

Impact

Une gestion inappropriée du contenu HTML dans les outils de développement (DevTools) de Google Chrome permet à un acteur malveillant distant, ayant déjà pris le contrôle du processus de rendu (renderer), d’échapper au mécanisme d’isolation (sandbox) du renderer en chargeant une page spécialement conçue à cet effet.

Cette vulnérabilité, identifiée sous la référence CWE-20 (Validation insuffisante des entrées), permet à un attaquant d’exécuter du code dans le processus de rendu avec des privilèges supérieurs à ceux normalement accordés par la sandbox, ce qui peut potentiellement compromettre le système d’exploitation hôte.

Systèmes affectés

La vulnérabilité est présente dans les versions de Google Chrome antérieures à 149.0.7827.115.

Les utilisateurs exécutant une version ancienne ou non prise en charge de Chrome doivent vérifier leur version installée et effectuer une mise à niveau vers la version 149.0.7827.115 ou une version ultérieure afin d’appliquer le correctif fourni par l’éditeur.

Risque et exploitabilité

Le score EPSS inférieur à 1 % indique une faible probabilité d’exploitation active dans la nature, et cette vulnérabilité ne figure pas dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA.

Cependant, le score CVSS de 8,3 indique un niveau de gravité élevé.

D’après la description, l’attaquant doit d’abord obtenir le contrôle du processus de rendu, généralement en incitant un utilisateur à visiter un contenu web malveillant. Il peut ensuite charger une page spécialement conçue pour exploiter la faille et s’échapper de la sandbox.

Une fois cette étape franchie, l’attaquant peut exécuter du code avec des privilèges élevés sur le système d’exploitation hôte.

Mesures correctives

• Mettre à jour Google Chrome vers la version 149.0.7827.115 ou une version ultérieure afin d’obtenir le correctif officiel.
• Limiter ou désactiver l’exécution de contenus HTML non fiables, ainsi que l’utilisation des DevTools dans les environnements nécessitant un niveau de sécurité élevé.
• À titre temporaire, désactiver les DevTools via les stratégies de groupe (Group Policy) ou les paramètres d’entreprise jusqu’à ce que la mise à jour officielle soit déployée.