Une exécution de code à distance (RCE) pose des menaces importantes pour la sécurité, notamment des violations de données, des pannes de service, le déploiement de ransomware et des mouvements latéraux non autorisés. Suite à la divulgation récente de CVE-2025-11001 et CVE-2025-11002, quelques failles dans 7-Zip permettant à des attaquants distants d’exécuter du code arbitraire et potentiellement de prendre le contrôle complet du système, une autre vulnérabilité critique avec un potentiel RCE similaire a maintenant émergé. Identifiée comme CVE-2025-12036, la vulnérabilité découle d’une mise en œuvre inappropriée au sein de V8, le moteur JavaScript et WebAssembly open-source de Google utilisé par Chrome et d’autres navigateurs basés sur Chromium.

Alors que V8 exécute du code JavaScript dans les navigateurs, il joue un rôle essentiel dans les fonctionnalités web quotidiennes, traitant des millions d’exécutions de code chaque jour. Des vulnérabilités dans un tel composant fondamental peuvent ouvrir la voie aux attaquants pour voler des données sensibles, déployer des logiciels malveillants ou prendre le contrôle des systèmes affectés. Il y a juste un mois, une autre faille critique dans le moteur JavaScript et WebAssembly V8 de Chrome, suivie sous CVE-2025-10585, a attiré une attention significative dans le paysage de la cybersécurité. La faille précédemment découverte permettait aux attaquants d’exécuter du code malveillant sur les systèmes des victimes en les incitant à visiter un site compromis contenant du JavaScript conçu. L’émergence d’une autre vulnérabilité critique dans le même logiciel largement utilisé augmente considérablement le risque d’exposition pour les utilisateurs et souligne la nécessité de mesures défensives rapides.

Inscrivez-vous sur la plateforme SOC Prime pour débloquer l’accès au flux mondial des menaces actives qui propose du contenu de détection de CTI natif AI et enrichi en contexte pour anticiper les menaces critiques. Toutes les détections sont compatibles avec les plateformes SIEM, EDR et Data Lake les plus reconnues et sont alignées sur MITRE ATT&CK®. De plus, chaque contenu fournit un contexte de menace approfondi pour une investigation des menaces simplifiée, notamment CTI des liens, des chronologies d’attaques, des configurations d’audit, des recommandations de triage et d’autres métadonnées pertinentes. Cliquez sur le bouton Explorer les Détections pour accéder à l’ensemble complet d’algorithmes de détection afin de se défendre de manière proactive contre les vulnérabilités émergentes et connues filtrées par le tag « CVE ».

Explorer les Détections

Les équipes de sécurité peuvent également profiter de Uncoder AI pour effectuer des tâches d’ingénierie de détection de bout en bout. La solution permet aux défenseurs de convertir des IOC en requêtes personnalisées de chasse en temps réel, de générer de manière transparente du code de détection à partir de rapports de menaces bruts, de visualiser des diagrammes de flux d’attaque, d’appliquer une optimisation de requête pilotée par l’AI et de traduire les détections dans divers formats linguistiques – le tout à partir d’un seul endroit.

Analyse de CVE-2025-12036

Google a récemment déployé une mise à jour de sécurité d’urgence pour son navigateur Chrome afin de corriger une nouvelle vulnérabilité du moteur JavaScript V8 de Chrome qui pourrait permettre une RCE sur les systèmes vulnérables. La vulnérabilité, identifiée comme CVE-2025-12036, a été traitée dans la version 141.0.7390.122/.123 de Chrome pour Windows et macOS, et la version 141.0.7390.122 pour Linux.

La faille a été identifiée le 15 octobre 2025 par le projet Big Sleep de Google, l’initiative de recherche en cybersécurité alimentée par l’intelligence artificielle de l’entreprise. Cette découverte marque une autre contribution majeure des systèmes d’intelligence artificielle de Google aux efforts de détection de vulnérabilités. Le problème a été décrit comme une mise en œuvre inappropriée dans V8, le moteur JavaScript et WebAssembly open-source qui alimente Chrome et d’autres navigateurs basés sur Chromium. Étant donné l’impact potentiel, CVE-2025-12036 a été évaluée comme critique, soulignant les risques sérieux de son exploitation réussie.

Comme mesure de mitigation rapide pour CVE-2025-12036, Google a réagi rapidement en émettant le correctif seulement six jours après sa découverte. Le correctif est actuellement distribué aux utilisateurs via le mécanisme de mise à jour automatique de Chrome, avec un déploiement prévu pour atteindre tous les utilisateurs dans les prochaines semaines. Les utilisateurs sont fortement encouragés à vérifier la version de leur navigateur en naviguant vers Paramètres > À propos de Chrome, où le navigateur vérifie automatiquement et installe toutes les mises à jour en attente. Le fournisseur a également souligné que de nombreuses vulnérabilités de Chrome sont détectées à l’aide de cadres de test de sécurité automatisés avancés, tels que AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer, et AFL. Ces outils permettent une détection précoce des failles de sécurité avant qu’elles ne soient exploitées dans la nature.

La dernière mise à jour du fournisseur est le seul correctif de sécurité inclus dans la version actuelle du canal stable, soulignant l’urgence avec laquelle Google a priorisé le problème. Conformément à sa politique standard de divulgation des vulnérabilités, Google retiendra les informations techniques détaillées et l’accès aux rapports de bogues associés jusqu’à ce que la plupart des utilisateurs aient reçu la mise à jour de sécurité.

Alors que la menace d’exploitation de vulnérabilités continue de croître, la mise en œuvre de stratégies de défense proactive est essentielle pour améliorer la résilience globale en cybersécurité d’une organisation. En tirant parti de l’ensemble complet de produits de SOC Prime soutenu par l’AI, les capacités automatisées et les renseignements sur les menaces en temps réel, les organisations mondiales peuvent renforcer leurs défenses à grande échelle et minimiser les risques d’exposition aux menaces critiques.