En fin de semaine dernière, Google a publié de nouvelles mises à jour de sécurité pour son navigateur Google Chrome. Ces mises à jour servent à patcher deux failles de sécurité zero-day dans le navigateur web le plus utilisé au monde. Voici ce que l’on sait sur ces menaces potentielles.

Initialement, jeudi 12 mars 2026, une mise à jour pour Google Chrome avait été publiée pour corriger deux failles de sécurité zero-day : CVE-2026-3909 et CVE-2026-3910. Néanmoins, le lendemain de la publication de ce patch, Google a mis à jour son bulletin de sécurité pour préciser ce qui suit : “La version précédente de ces notes mentionnait le CVE-2026-3909, dont le correctif sera disponible dans une mise à jour ultérieure.”

C’est aussi le lendemain, à savoir vendredi 13 mars 2026, que cette seconde mise à jour a été publiée. Si vous avez mis à jour votre navigateur web jeudi dernier, vous devez donc appliquer cette seconde mise à jour pour vous protéger pleinement contre ces deux vulnérabilités.

• CVE-2026-3910 – Vulnérabilité corrigée jeudi 12/03/2026

Cette faille de sécurité a été découverte dans le moteur JavaScript V8 de Google Chrome. Elle est décrite comme une implémentation inappropriée par Google. “Google sait qu’un exploit visant la vulnérabilité CVE-2026-3910 circule actuellement.”, peut-on lire.

• CVE-2026-3909 – Vulnérabilité corrigée vendredi 13/03/2026

Cette faille de sécurité, de type out-of-bounds write (écriture hors limites), se situe dans Skia. Il s’agit d’une bibliothèque graphique 2D open source exploitée par le navigateur Web pour le rendu du contenu Web et des éléments de l’interface utilisateur. Concernant cette vulnérabilité, Google apporte la même précision : “Google sait qu’un exploit visant la vulnérabilité CVE-2026-3909 circule actuellement.”

Comme je l’évoquais précédemment, Google a mis en ligne 2 nouvelles versions de Chrome en 2 jours. La version la plus récente actuelle est donc la suivante : 146.0.7680.80. Cette même version est disponible autant pour Windows, Mac que Linux.

“La version du canal Stable a été mise à jour vers la version 146.0.7680.80 pour Windows/Mac et vers la version 146.0.7680.80 pour Linux ; ce déploiement s’effectuera au cours des prochains jours ou des prochaines semaines.”, précise Google (mention habituelle).

Cet article est l’occasion de rappeler que ce sont les 2ème et 3ème failles de sécurité zero-day patchées par Google depuis le début de l’année 2026. La précédente étant la CVE-2026-2441, patchée en février dernier.