Mises à jour de sécurité de Chrome 147 et Firefox 150 pour corriger des failles critiques du navigateur
Google et Mozilla ont publié des mises à jour de sécurité critiques le 29 avril 2026, corrigeant plusieurs vulnérabilités de haute gravité dans Chrome 147 et Firefox 150 qui pourraient permettre aux attaquants d'exécuter du code arbitraire sur les systèmes des victimes. Les mises à jour du navigateur ciblent des failles que les chercheurs en sécurité ont identifiées comme posant des risques significatifs pour les utilisateurs d'entreprise et les consommateurs sur tous les principaux systèmes d'exploitation.
Chrome 147.0.6123.58 corrige huit vulnérabilités de sécurité, dont trois classées comme critiques avec des scores CVSS dépassant 8.0. La faille la plus grave affecte le moteur JavaScript V8 du navigateur, où une gestion incorrecte de la mémoire pourrait permettre à des attaquants distants de déclencher une corruption de tas et d'obtenir des privilèges d'exécution de code. L'équipe de sécurité de Google a confirmé que la vulnérabilité impacte toutes les installations de Chrome exécutant les versions 146.x et antérieures sur les plateformes Windows, macOS, Linux et ChromeOS.
La mise à jour 150.0 de Mozilla Firefox corrige simultanément six problèmes de sécurité, dont deux classés comme vulnérabilités critiques d'exécution de code à distance. Les failles de Firefox se concentrent sur des bugs de sécurité de la mémoire dans le moteur de rendu du navigateur et l'implémentation de WebAssembly. Les ingénieurs de Mozilla ont découvert ces problèmes lors d'audits de sécurité internes et ont coordonné la divulgation avec Google pour assurer une correction synchronisée dans l'écosystème des navigateurs.
Les deux fournisseurs ont souligné que la gravité de ces vulnérabilités réside dans leur potentiel d'exploitation via des sites Web malveillants ou du contenu Web compromis. Les attaquants pourraient concevoir des pages Web spécialement conçues pour déclencher les vulnérabilités lorsque les utilisateurs visitent des sites infectés, ce qui pourrait entraîner une compromission complète du système sans nécessiter d'interaction de l'utilisateur au-delà des activités de navigation normales. Les vulnérabilités affectent à la fois les versions de navigateur de bureau et mobiles, élargissant la surface d'attaque potentielle à des milliards d'appareils dans le monde.
Les chercheurs en sécurité ont noté que le moment de ces mises à jour coïncide avec une augmentation des campagnes d'attaques basées sur les navigateurs observées tout au long du mois d'avril 2026. Les entreprises de renseignement sur les menaces ont documenté une augmentation de 40 % de l'activité des kits d'exploitation ciblant les vulnérabilités des navigateurs, rendant ces correctifs particulièrement critiques pour les postures de sécurité organisationnelles. La publication coordonnée suggère que les deux fournisseurs ont identifié des vecteurs d'attaque similaires et ont travaillé ensemble pour minimiser la fenêtre d'exposition pour les utilisateurs.
Impact généralisé sur les déploiements de navigateurs d'entreprise et de consommateurs
Les vulnérabilités affectent tous les utilisateurs exécutant les versions de Chrome 146.x et antérieures, ainsi que les versions de Firefox 149.x et inférieures. Les environnements d'entreprise sont particulièrement à risque en raison de la prévalence de ces navigateurs dans les réseaux d'entreprise, où une exploitation réussie pourrait fournir aux attaquants un accès initial aux systèmes internes. Les organisations utilisant Chrome pour les entreprises ou les déploiements Firefox ESR doivent donner la priorité à ces mises à jour pour prévenir les attaques potentielles de mouvement latéral.
Google estime qu'environ 3,2 milliards d'installations de Chrome nécessitent la mise à jour de sécurité, couvrant Windows 10/11, macOS Monterey à Sonoma, Ubuntu 20.04+ et les appareils ChromeOS. La vulnérabilité affecte à la fois les architectures 32 bits et 64 bits, sans solutions de contournement basées sur la configuration disponibles pour atténuer le risque sans appliquer le correctif de sécurité complet. Les utilisateurs de Chrome mobile sur Android 8.0+ et iOS 14+ ont également besoin des mises à jour correspondantes du navigateur mobile.
La base d'utilisateurs de Firefox d'environ 200 millions d'installations fait face à une exposition similaire, les vulnérabilités affectant Firefox 149.x et antérieures sur toutes les plateformes prises en charge. Le canal de version de support étendu (ESR) de Mozilla, couramment déployé dans les environnements d'entreprise, nécessite une attention immédiate car les versions ESR 128.x contiennent les mêmes failles sous-jacentes. Les établissements d'enseignement et les agences gouvernementales utilisant Firefox comme navigateur standard sont exposés à un risque accru en raison du potentiel de compromission généralisée par une seule visite de site Web malveillant.
Les capacités d'exécution de code arbitraire de ces vulnérabilités signifient qu'une exploitation réussie pourrait entraîner une compromission complète du système, y compris le vol d'identifiants, l'installation de logiciels malveillants et l'exfiltration de données. Les équipes de sécurité devraient traiter ces mises à jour avec la même urgence que les correctifs de sécurité du système d'exploitation, en particulier dans les environnements où les navigateurs accèdent à des applications internes sensibles ou à des services cloud avec des jetons d'authentification stockés.
Étapes immédiates de correction et d'atténuation pour les équipes informatiques
Chrome 147.0.6123.58 se déploie automatiquement via le mécanisme de mise à jour standard de Google, mais les administrateurs informatiques doivent vérifier l'installation réussie sur les flottes gérées. Les environnements d'entreprise utilisant la console d'administration Google peuvent forcer les mises à jour immédiates en accédant à Gestion des appareils > Chrome > Paramètres > Paramètres utilisateur et navigateur et en activant 'Mise à jour automatique du navigateur Chrome'. Les organisations peuvent vérifier la correction réussie en vérifiant chrome://version/ sur les systèmes individuels ou en déployant des scripts PowerShell pour interroger les informations de version de Chrome sur les domaines Windows.
Firefox 150.0 nécessite une vérification manuelle dans les environnements d'entreprise, en particulier pour les déploiements ESR. Les administrateurs doivent accéder au catalogue des vulnérabilités exploitées connues de la CISA pour surveiller si ces CVE reçoivent un statut d'exploitation active. Mozilla fournit des packages de déploiement d'entreprise via leurs serveurs FTP, permettant une distribution centralisée via des plateformes de gestion logicielle existantes comme SCCM ou Jamf Pro.
Les équipes de sécurité réseau devraient mettre en œuvre une surveillance supplémentaire pour les activités suspectes basées sur le navigateur pendant que les correctifs se déploient. Les journaux de proxy Web doivent être examinés pour détecter des modèles d'exécution JavaScript inhabituels ou des comportements de chargement WebAssembly qui pourraient indiquer des tentatives d'exploitation. Les systèmes de gestion des informations et des événements de sécurité (SIEM) doivent être configurés pour alerter sur les modèles de plantage du navigateur ou l'apparition inattendue de processus à partir des processus du navigateur.
Les organisations incapables de déployer immédiatement les mises à jour devraient envisager des stratégies d'atténuation temporaires, y compris la restriction de l'accès au navigateur aux sites Web non fiables via des filtres DNS ou des politiques de proxy Web. Cependant, ces mesures offrent une protection limitée contre les attaques sophistiquées et ne devraient pas remplacer une correction rapide. Le Microsoft Security Response Center recommande de traiter les vulnérabilités des navigateurs avec la même priorité que les failles du système d'exploitation en raison de leur potentiel de compromission généralisée.
Les équipes de sécurité devraient également revoir les politiques d'extension de navigateur, car des extensions malveillantes pourraient potentiellement exploiter ces vulnérabilités pour une élévation de privilèges. Les modèles de politique d'entreprise de Chrome permettent aux administrateurs de restreindre l'installation d'extensions et d'appliquer des politiques de sécurité qui limitent l'exposition aux attaques basées sur le navigateur tout en maintenant la fonctionnalité opérationnelle pour les applications Web critiques pour l'entreprise.
