Deux zero-days Chrome ciblent V8 (WebAssembly)
CVE-2026-3909 et CVE-2026-3910 sont confirmées exploitées dans la nature. CVE-2026-3910 vise V8, le moteur JavaScript et WebAssembly de Chrome — le même runtime qui propulse tous les outils de traitement de fichiers respectueux de la vie privée fonctionnant dans le navigateur. Délai CISA : 27 mars 2026.
VaultTools · 26 mars 2026
Photo de Alexandre Debiève sur Unsplash
Table des matières
- Ce qui s’est passé
- Ce que fait chaque vulnérabilité
- Pourquoi CVE-2026-3910 concerne les outils de fichiers basés sur le navigateur
- Ce que signifie l’inscription au catalogue KEV de la CISA
- Ce que les utilisateurs doivent faire maintenant
- Sources
Ce Qui S’est Passé
Le 10 mars 2026, l’équipe de sécurité interne de Google a découvert deux vulnérabilités zero-day dans Chrome et confirmé que les deux étaient activement exploitées dans la nature. Google a publié Chrome 146.0.7680.80 le 16 mars 2026, corrigeant les deux failles :
- CVE-2026-3909 (CVSS 8,8) : une écriture hors limites dans Skia, la bibliothèque de rendu graphique 2D de Chrome
- CVE-2026-3910 (CVSS 8,8) : une implémentation inappropriée dans V8, le moteur JavaScript et WebAssembly de Chrome
Les deux permettent à un attaquant distant d’exécuter du code arbitraire ou d’effectuer des accès mémoire hors limites via une page HTML malveillante, sans autre action de l’utilisateur que de charger la page dans un navigateur non corrigé. Le 13 mars 2026, la CISA a inscrit les deux CVE à son catalogue des vulnérabilités exploitées connues (KEV) avec une obligation de correction au plus tard le 27 mars 2026 pour toutes les agences civiles fédérales américaines.
Une mise à jour stable de Chrome distincte publiée le 18 mars 2026 (version 146.0.7680.153) a corrigé 26 vulnérabilités supplémentaires dans WebGL, WebRTC, Blink, ANGLE, PDFium et la pile réseau.
Ce Que Fait Chaque Vulnérabilité
CVE-2026-3909 est une écriture hors limites dans Skia, la bibliothèque graphique responsable du rendu de tout le contenu visuel dans Chrome : pages web, éléments canvas, SVG et documents intégrés comme les PDF. Un attaquant qui déclenche ce bug via une page malveillante peut corrompre la mémoire adjacente au tampon graphique, ouvrant potentiellement la voie à une exécution de code ou à un crash du navigateur sans interaction de l’utilisateur.
CVE-2026-3910 se trouve dans V8, le moteur que Chrome utilise pour compiler et exécuter JavaScript et WebAssembly. Selon l’entrée KEV de la CISA, la faille « permet à un attaquant distant d’exécuter du code arbitraire dans un bac à sable via une page HTML malveillante ». Qualys a attribué aux deux CVE un score de vulnérabilité (QVS) de 95 sur 100, reflet de leur exploitation confirmée en conditions réelles.
Pourquoi CVE-2026-3910 Concerne Les Outils De Fichiers Basés Sur Le Navigateur
Les outils de fichiers respectueux de la vie privée fonctionnant dans le navigateur utilisent WebAssembly pour le traitement de base. Quand un utilisateur fusionne un PDF, convertit des images ou formate du JSON entièrement dans le navigateur, le module Wasm compilé par l’outil se charge et s’exécute dans V8. Le fichier n’atteint aucun serveur. Le traitement se déroule localement, à l’intérieur du même moteur que cible CVE-2026-3910.
Cela ne fait pas de ces outils le vecteur d’attaque. La vulnérabilité est déclenchée par une page HTML malveillante, pas par un binaire Wasm de confiance. Un module Wasm bien écrit et compilé depuis Rust ou C ne contient aucun code d’exploitation. Mais si le Chrome d’un utilisateur n’est pas corrigé, tout onglet exécutant du Wasm dans ce navigateur tourne sur une infrastructure d’exécution compromise.
Le principe reste valable : le traitement local des fichiers protège vos données des violations côté serveur, des accès tiers et des risques liés au stockage cloud. Il ne se substitue pas à la mise à jour du moteur du navigateur. Les deux niveaux de sécurité requièrent de l’attention.
Ce Que Signifie L’inscription Au Catalogue KEV De La CISA
Le catalogue KEV de la CISA répertorie les failles dont l’exploitation par de vrais acteurs malveillants en environnement de production est confirmée, et non de simples preuves de concept théoriques. L’inscription crée une obligation de correction pour les agences fédérales américaines et constitue une référence en matière de diligence pour les équipes de sécurité du secteur privé.
Le délai entre la publication du correctif de Google (16 mars) et l’inscription au KEV par la CISA (13 mars, trois jours avant la version stable) illustre la gravité de l’exploitation confirmée. Google a émis un avis préliminaire le 13 mars avant la publication complète de la mise à jour du canal stable le 16 mars. La date limite du 27 mars laisse aux agences fédérales 14 jours à compter de la découverte pour déployer le correctif sur leurs terminaux gérés.
Ce Que Les Utilisateurs Doivent Faire Maintenant
Ouvrez Chrome et accédez à chrome://settings/help. Si la version affichée est inférieure à 146.0.7680.80, Chrome lancera automatiquement la mise à jour depuis cette page. Redémarrez le navigateur après la mise à jour pour l’appliquer.
Le même moteur V8 est embarqué dans tous les navigateurs basés sur Chromium. Les utilisateurs de Microsoft Edge, Brave, Opera et Vivaldi doivent consulter les avis de sécurité de leurs fournisseurs respectifs pour les correctifs couvrant la même classe de vulnérabilité.
Sources
- Google Patches Two Chrome Vulnerabilities Exploited in the Wild (CVE-2026-3909 & CVE-2026-3910) (Qualys ThreatPROTECT, 16 mars 2026)
- Google Fixes Two Chrome Zero-Days Exploited in the Wild Affecting Skia and V8 (Vulert)
- Google rushes Chrome update to fix zero-days under attack (The Register, 13 mars 2026)
- Google patches two Chrome zero-days under active attack (Malwarebytes, 13 mars 2026)
- Chrome Under Attack: Google Patches Two Actively Exploited Zero-Day Vulnerabilities (CISO Node)
- CVE-2026-3909 and CVE-2026-3910 Chrome Zero-Day Exploited (CVSS 8.8) (Purple Ops)
- Google Chrome Update Fixes 26 Security Flaws, Including RCE Vulnerabilities (CyberPress)
- CISA Known Exploited Vulnerabilities Catalog (CISA)