Zero-Days navigateurs : Chrome V8 et sandbox Firefox exploités
5 min de lectureURGENCE CRITIQUE
Résumé exécutif
Google corrige un zero-day Chrome activement exploité dans le moteur JavaScript V8. Mozilla publie une mise à jour Firefox d'urgence pour une vulnérabilité d'évasion du bac à sable. Microsoft Edge hérite des failles Chromium alors que les attaques via navigateur ciblent de plus en plus les utilisateurs en entreprise.
⚡ L'essentiel : Mettez à jour TOUS les navigateurs immédiatement — ces exploits ciblent les employés du secteur financier.
🔴
Critique
CVE-2026-0892 : Zero-Day de confusion de type Chrome V8
Pourquoi c'est important
Google a publié une mise à jour Chrome d'urgence pour corriger une vulnérabilité de confusion de type dans le moteur JavaScript V8 qui est activement exploitée dans la nature. La vulnérabilité permet l'exécution de code à distance lors de la visite d'un site web malveillant. L'exploit a été observé ciblant les employés du secteur financier.
Scénario du pire
Impact
Description
RCE
Exécution de code arbitraire dans le contexte du navigateur
Évasion du bac à sable
Combinée avec un second bug pour un accès complet au système
Vol d'identifiants
Accès aux mots de passe et cookies enregistrés du navigateur
Attaque au passage
Aucune interaction utilisateur au-delà de la visite d'une page
Comment vous protéger — Actions à entreprendre
Mettez à jour Chrome vers 132.0.6834.110 immédiatement
Activez les mises à jour automatiques pour tous les navigateurs gérés
Vérifiez la mise à jour via chrome://settings/help
Entreprise : Déployez la mise à jour via Chrome Browser Cloud Management
Mettez en œuvre l'isolation du navigateur pour les utilisateurs à haut risque
🦊
Critique
CVE-2026-0901: Firefox Évasion du bac à sable
Pourquoi c'est important
Mozilla a corrigé une vulnérabilité critique d'évasion du bac à sable dans Firefox qui permet aux attaquants de sortir du bac à sable du navigateur et d'exécuter du code au niveau de privilège de l'utilisateur. Combinée avec un bug du moteur de rendu, cela permet une compromission complète du système.
Scénario du pire
💻
Compromission complète du système
Prise de contrôle complète du système via la visite d'un site web malveillant.
🦠
Installation de maliciels
Des maliciels peuvent être installés sans le consentement de l'utilisateur.
📂
Data Theft
Vol de toutes les données du navigateur et des fichiers locaux.
🔄
Mouvement latéral
Potentiel de persistance et de propagation réseau.
Comment vous protéger — Actions à entreprendre
Mettez à jour Firefox vers 135.0.1 immédiatement
Entreprise : Déployez la mise à jour via Stratégie de groupe/MDM
Activez la protection renforcée contre le pistage (mode strict)
Envisagez Firefox ESR pour le déploiement en entreprise
Mettez en œuvre le filtrage de contenu web pour les sites malveillants connus
🔷
Urgent
Vulnérabilités Microsoft Edge Chromium
Pourquoi c'est important
Microsoft Edge hérite de toutes les vulnérabilités Chromium et nécessite une correction séparée. Les organisations utilisant Edge doivent s'assurer que les mises à jour sont déployées en parallèle des correctifs Chrome pour maintenir la sécurité.
Comment vous protéger — Actions à entreprendre
Mettez à jour Edge vers 132.0.2957.99 ou ultérieure
Activez les mises à jour automatiques pour Edge
Vérifiez les politiques de mise à jour Edge dans Intune/SCCM
Envisagez de standardiser un seul navigateur pour une gestion simplifiée
⛏️
Élevé
Recrudescence du cryptojacking basé sur WebAssembly
Pourquoi c'est important
Une nouvelle vague de cryptojacking via navigateur utilise WebAssembly pour un minage efficace tout en échappant à la détection. Des publicités malveillantes et des sites web compromis injectent du code de minage qui persiste entre les sessions de navigation via les service workers.
Comment vous protéger — Actions à entreprendre
Déployez des extensions de navigateur qui bloquent les cryptomineurs
Surveillez l'utilisation inhabituelle du CPU dans les processus du navigateur
Mettez en œuvre des politiques de sécurité du contenu bloquant les scripts en ligne
Utilisez des bloqueurs de publicité avec détection de cryptomineurs
Activez le mode d'économie de batterie de Chrome pour détecter une utilisation élevée du CPU
🔌
Élevé
Risques de la chaîne d'approvisionnement des extensions de navigateur
Pourquoi c'est important
Des chercheurs en sécurité ont identifié que 15 % des extensions Chrome populaires ont changé de propriétaire au cours de l'année écoulée, souvent vers des entités inconnues. Plusieurs extensions auparavant légitimes ont été transformées en armes après acquisition.
Comment vous protéger — Actions à entreprendre
Auditez les extensions de navigateur installées dans toute l'organisation
Mettez en œuvre une liste d'autorisation d'extensions via la gestion des navigateurs
Supprimez les extensions qui ne sont plus maintenues
Surveillez les changements de permissions des extensions
Utilisez des profils de navigateur d'entreprise avec installation d'extensions restreinte
Lancez une analyse KENSAI maintenant pour vérifier si vos systèmes sont affectés