Google dévoile par mégarde un bug critique affectant Chrome et Edge
Google a accidentellement rendu publics les détails d’une vulnérabilité signalée il y a plus de trois ans dans Chromium, moteur utilisé par Chrome, Edge. Selon la chercheuse à l’origine du signalement, la faille n’est toujours pas corrigée.
C’est le genre d’erreur dont Google se serait volontiers passé... La firme de Mountain View a accidentellement rendu publics les détails d’une vulnérabilité non corrigée affectant Chromium, le moteur utilisé par Chrome, Edge, Brave ou encore Opera. La faille permettrait d’exécuter du JavaScript en arrière-plan même après la fermeture du navigateur, ouvrant la voie à des usages malveillants à grande échelle, rapporte BleepingComputer.
Le problème avait été signalé dès décembre 2022 par la chercheuse en sécurité Lyra Rebane. Selon son rapport, un attaquant peut créer une page web malveillante exploitant les Service Workers de manière persistante. Une simple visite sur le site suffirait alors à maintenir l’exécution de code JavaScript sur l’appareil de la victime, sans interaction supplémentaire.
Parmi les scénarios évoqués figurent la création de botnets, le lancement d’attaques DDoS, le relais de trafic malveillant ou encore la redirection de connexions vers des sites ciblés, précise BleepingComputer. La vulnérabilité toucherait l’ensemble des navigateurs basés sur Chromium.
Divulgation déclenchée automatiquement
Google avait marqué la faille comme corrigée en février 2026 dans son système interne de suivi des bugs. Cette décision a entraîné la levée automatique des restrictions d’accès au dossier le 20 mai, exposant publiquement les détails techniques du problème. Or, selon Lyra Rebane, la vulnérabilité reste exploitable dans les versions récentes de Chrome Dev 150 et Edge 148.
Après avoir constaté l’erreur, Google a replacé le dossier en accès restreint. Mais les informations étaient déjà accessibles publiquement depuis plusieurs heures. La chercheuse estime que cette divulgation facilite désormais fortement le développement d’exploits, même si la création d’un botnet massif resterait plus complexe en pratique. En outre, la faille ne permettrait pas de contourner les mécanismes d’isolation du navigateur ni d’accéder directement aux fichiers, e-mails ou au système d’exploitation de la victime.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
