Chrome 147 livre une mise à jour de sécurité majeure avec des correctifs WebML
Google a publié Chrome 147 le 10 avril 2026, traitant une collection substantielle de 60 vulnérabilités de sécurité qui posaient des risques significatifs aux utilisateurs du monde entier. La mise à jour représente l'un des correctifs de sécurité les plus complets de l'histoire récente de Chrome, avec un accent particulier sur les failles critiques au sein du composant WebML qui auraient pu permettre des attaques d'exécution de code à distance.
Les deux vulnérabilités les plus graves découvertes dans l'implémentation WebML de Chrome ont été signalées par des chercheurs en sécurité anonymes qui ont reçu un total de 86 000 $ en récompenses de chasse aux bugs. WebML, le cadre d'inférence de machine learning de Chrome, est devenu de plus en plus important à mesure que les applications web intègrent des capacités d'IA directement dans les navigateurs. Ces failles critiques auraient pu permettre aux attaquants d'exécuter du code arbitraire dans le bac à sable de sécurité du navigateur, compromettant potentiellement les données des utilisateurs et l'intégrité du système.
Les chercheurs anonymes sont devenus de plus en plus courants dans le programme de divulgation de vulnérabilités de Chrome, représentant souvent des professionnels de la sécurité qui préfèrent maintenir leur vie privée tout en contribuant à la sécurité du navigateur. Les paiements de récompenses substantiels reflètent la reconnaissance par Google de la gravité et de l'impact potentiel de ces vulnérabilités WebML. L'équipe de sécurité de Chrome a travaillé en étroite collaboration avec les chercheurs pour comprendre les vecteurs d'attaque et développer des correctifs complets qui traitent à la fois les vulnérabilités immédiates et les variantes potentielles.
Les vulnérabilités du composant WebML représentent une nouvelle catégorie de risques de sécurité pour les navigateurs à mesure que les capacités de machine learning s'intègrent plus profondément dans les navigateurs web. Ces failles auraient pu être exploitées via des sites web malveillants qui déclenchent des opérations WebML spécifiques, pouvant entraîner des plantages de navigateur, le vol de données ou une compromission complète du système. Le moment de cette découverte est particulièrement significatif alors que Chrome continue d'étendre ses fonctionnalités d'IA et de machine learning sur la plateforme.
La base d'utilisateurs mondiale de Chrome fait face à une exposition à la sécurité
Tous les utilisateurs de Chrome exécutant des versions antérieures à 147 sont affectés par ces vulnérabilités, représentant des milliards d'utilisateurs sur les plateformes de bureau et mobiles. Les failles critiques de WebML affectent spécifiquement les utilisateurs qui visitent des sites web utilisant des capacités d'inférence de machine learning, qui sont devenues de plus en plus courantes dans les applications web modernes. Les environnements d'entreprise utilisant Chrome pour des applications professionnelles courent un risque particulier en raison du potentiel de mouvement latéral si les navigateurs sont compromis.
Le mécanisme de mise à jour automatique de Chrome garantit que la plupart des utilisateurs recevront les correctifs de sécurité sans intervention manuelle, mais les organisations avec des déploiements Chrome gérés doivent vérifier que les politiques de mise à jour fonctionnent correctement. Les vulnérabilités WebML pourraient être particulièrement dangereuses dans les environnements d'entreprise où les utilisateurs accèdent fréquemment à des outils d'IA basés sur le cloud et à des applications de machine learning qui reposent sur des capacités d'inférence basées sur le navigateur.
Les utilisateurs de Chrome mobile sur les plateformes Android et iOS sont également affectés, bien que les vecteurs d'exploitation puissent différer légèrement en raison du bac à sable des systèmes d'exploitation mobiles. La nature mondiale de la base d'utilisateurs de Chrome signifie que ces vulnérabilités pourraient affecter les utilisateurs dans toutes les régions géographiques et tous les secteurs industriels, rendant le déploiement rapide de la mise à jour de sécurité une priorité critique pour l'équipe de réponse à la sécurité de Google.
Mise à jour immédiate requise pour la sécurité de Chrome
Les utilisateurs de Chrome doivent immédiatement mettre à jour vers la version 147 via le mécanisme de mise à jour intégré du navigateur. Accédez au menu à trois points de Chrome, sélectionnez 'Aide', puis 'À propos de Google Chrome' pour déclencher une vérification et une installation de mise à jour automatique. Le navigateur téléchargera et installera les correctifs de sécurité, nécessitant un redémarrage pour terminer le processus. Les administrateurs d'entreprise doivent vérifier que leurs politiques de gestion de Chrome permettent les mises à jour de sécurité automatiques ou pousser manuellement la mise à jour via leurs systèmes de déploiement.
Les organisations utilisant Chrome Enterprise peuvent surveiller le statut des mises à jour via la Google Admin Console et devraient prioriser cette mise à jour de sécurité en raison de la nature critique des vulnérabilités WebML. Les équipes informatiques devraient également examiner leur inventaire d'applications web pour identifier les services utilisant des capacités WebML et qui ont pu être à risque élevé pendant la fenêtre de vulnérabilité. Les outils de surveillance du réseau devraient être configurés pour détecter tout comportement inhabituel du navigateur ou des connexions sortantes inattendues qui pourraient indiquer des tentatives d'exploitation.
Les utilisateurs qui ne peuvent pas mettre à jour immédiatement devraient envisager de désactiver temporairement JavaScript sur les sites web non fiables et d'éviter les applications web alimentées par l'IA jusqu'à ce que la mise à jour de sécurité puisse être appliquée. Cependant, cette atténuation impacte considérablement la fonctionnalité du navigateur et ne devrait être envisagée que comme une mesure temporaire. L'équipe de sécurité de Chrome n'a pas publié d'indicateurs spécifiques de compromission pour ces vulnérabilités, mais les organisations devraient surveiller les plantages inhabituels du navigateur ou les problèmes de performance qui pourraient suggérer des tentatives d'exploitation.
