← Retour au blog
Briefing Sécurité 🔴 Critique

Zero-Days navigateurs : Chrome V8 & Sandbox Firefox exploités

5 min de lecture
URGENCE CRITIQUE

Synthèse

Google corrige un zero-day Chrome activement exploité dans le moteur JavaScript V8. Mozilla publie une mise à jour d'urgence de Firefox pour une vulnérabilité d'évasion du bac à sable. Microsoft Edge hérite des failles Chromium alors que les attaques par navigateur se multiplient, ciblant les entreprises.

⚡ En résumé : Mettez à jour TOUS vos navigateurs immédiatement — ces exploits ciblent les employés du secteur financier.

🔴
Critique

CVE-2026-0892 : Zero-Day de confusion de type Chrome V8

Pourquoi c'est important

Google a publié une mise à jour d'urgence de Chrome pour corriger une vulnérabilité de confusion de type dans le moteur JavaScript V8, activement exploitée dans la nature. Cette vulnérabilité permet l'exécution de code à distance lors de la visite d'un site malveillant. L'exploit a été observé ciblant des employés du secteur financier.

Scénario du pire

Impact Description
RCE Exécution de code arbitraire dans le contexte du navigateur
Évasion du bac à sable Combiné avec un second bug pour un accès système complet
Vol d'identifiants Accès aux mots de passe et cookies enregistrés dans le navigateur
Attaque par téléchargement furtif Aucune interaction utilisateur au-delà de la visite d'une page

Comment vous protéger — Actions à mener

  • Mettre à jour Chrome vers la version 132.0.6834.110 immédiatement
  • Activer les mises à jour automatiques pour tous les navigateurs gérés
  • Vérifier la mise à jour via chrome://settings/help
  • Entreprise : déployer la mise à jour via Chrome Browser Cloud Management
  • Mettre en place l'isolation du navigateur pour les utilisateurs à haut risque
🦊
Critique

CVE-2026-0901 : Évasion du bac à sable Firefox

Pourquoi c'est important

Mozilla a corrigé une vulnérabilité critique d'évasion du bac à sable dans Firefox, permettant aux attaquants de s'échapper du bac à sable du navigateur et d'exécuter du code au niveau de privilèges de l'utilisateur. Combinée avec un bug du moteur de rendu, elle permet une compromission complète du système.

Scénario du pire

💻

Compromission complète du système

Prise de contrôle totale du système via la visite d'un site malveillant.

🦠

Installation de malware

Un malware peut être installé sans le consentement de l'utilisateur.

📂

Vol de données

Vol de toutes les données du navigateur et des fichiers locaux.

🔄

Mouvement latéral

Potentiel de persistance et de propagation sur le réseau.

Comment vous protéger — Actions à mener

  • Mettre à jour Firefox vers la version 135.0.1 immédiatement
  • Entreprise : déployer la mise à jour via les stratégies de groupe/MDM
  • Activer la protection renforcée contre le pistage (mode strict)
  • Envisager Firefox ESR pour les déploiements en entreprise
  • Mettre en place un filtrage de contenu web pour les sites malveillants connus
🔷
Urgent

Vulnérabilités Microsoft Edge Chromium

Pourquoi c'est important

Microsoft Edge hérite de toutes les vulnérabilités de Chromium et nécessite un correctif distinct. Les organisations utilisant Edge doivent s'assurer que les mises à jour sont déployées en parallèle des correctifs Chrome pour maintenir la sécurité.

Comment vous protéger — Actions à mener

  • Mettre à jour Edge vers la version 132.0.2957.99 ou ultérieure
  • Activer les mises à jour automatiques pour Edge
  • Vérifier les stratégies de mise à jour Edge dans Intune/SCCM
  • Envisager la standardisation sur un seul navigateur pour simplifier la gestion
⛏️
Élevé

Hausse du cryptojacking basé sur WebAssembly

Pourquoi c'est important

Une nouvelle vague de cryptojacking par navigateur utilise WebAssembly pour miner efficacement tout en échappant à la détection. Des publicités malveillantes et des sites compromis injectent du code de minage qui persiste entre les sessions du navigateur grâce aux service workers.

Comment vous protéger — Actions à mener

  • Déployer des extensions de navigateur bloquant les cryptomineurs
  • Surveiller l'utilisation anormale du processeur dans les processus du navigateur
  • Mettre en place des politiques de sécurité du contenu bloquant les scripts inline
  • Utiliser des bloqueurs de publicités avec détection de cryptomineurs
  • Activer le mode économie d'énergie de Chrome pour détecter une utilisation élevée du processeur
🔌
Élevé

Risques supply chain des extensions de navigateur

Pourquoi c'est important

Des chercheurs en sécurité ont identifié que 15 % des extensions Chrome populaires ont changé de propriétaire au cours de l'année écoulée, souvent au profit d'entités inconnues. Plusieurs extensions auparavant légitimes ont été détournées à des fins malveillantes après leur rachat.

Comment vous protéger — Actions à mener

  • Auditer les extensions de navigateur installées dans toute l'organisation
  • Mettre en place une liste blanche d'extensions via la gestion du navigateur
  • Supprimer les extensions qui ne sont plus maintenues
  • Surveiller les changements de permissions des extensions
  • Utiliser des profils de navigateur d'entreprise avec installation d'extensions restreinte

Lancez un scan KENSAI pour vérifier si vos systèmes sont affectés

🗡️ Scanner vos systèmes →

Votre liste d'actions pour cette semaine

Critique — À faire aujourd'hui
  • Mettre à jour Chrome vers 132.0.6834.110
  • Mettre à jour Firefox vers 135.0.1
  • Mettre à jour Microsoft Edge vers la dernière version
  • Vérifier les versions des navigateurs sur tous les appareils gérés
Élevé — À faire cette semaine
  • Activer les mises à jour automatiques des navigateurs à l'échelle de l'organisation
  • Auditer et restreindre les extensions de navigateur
  • Mettre en place l'isolation du navigateur pour les tâches sensibles
  • Déployer le filtrage de contenu web
Moyen — En continu
  • Activer la protection renforcée contre le pistage
  • Configurer les en-têtes Content Security Policy
  • Former les utilisateurs à la détection des attaques par navigateur

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home