Suivre 
Google a publié des mises à jour d’urgence pour Chrome afin de remédier à une vulnérabilité zero-day dans Chrome, un problème de lecture/écriture hors des limites dans le moteur JavaScript V8. Google indique qu’un exploit existe à l’état sauvage, et les versions corrigées de Stable sont en cours de déploiement sous 149.0.7827.102.103 pour Windows et Mac and 149.0.7827.102 pour Linux.
Les rapports publics indiquent que la faille peut être déclenchée via une page HTML spécialement conçue et peut permettre à un attaquant distant d’exécuter du code arbitraire dans le bac à sable du navigateur. SecurityWeek ajoute que le bug est le cinquième zero-day Chrome exploité en 2026, après CVE-2026-2441, CVE-2026-3909, CVE-2026-3910, et CVE-2026-5281.
Les détails les plus importants pour le CVE-2026-11645 sont encore limités car Google a restreint les détails du bug pendant que les mises à jour se propagent. La société indique que la vulnérabilité a été signalée fin avril 2026 par un chercheur anonyme, et SecurityWeek rapporte que le chercheur a reçu une récompense de 55 000 $ .
Analyse du CVE-2026-11645
For Analyse du CVE-2026-11645, la description publique confirmée reste étroite : Google liste le problème comme « accès mémoire hors des limites dans V8 » , tandis que BleepingComputer et SecurityWeek le décrivent comme un défaut de lecture/écriture hors des limites. En termes pratiques, cela signifie que le contenu web malveillant peut pousser le moteur au-delà des limites mémoire prévues, ce qui peut exposer des données sensibles, faire planter le navigateur ou créer un chemin vers l’exécution de code dans le bac à sable.
Du point de vue de l’exposition, le CVE-2026-11645 affecte les utilisateurs de Chrome sur bureau qui n’ont pas encore migré vers la version corrigée 149. BleepingComputer note qu’une exploitation réussie peut mener à une corruption de la mémoire pile et à un accès non autorisé au-delà de la mémoire tampon prévue, et indique également que la faille pourrait aider les attaquants à contourner des protections comme ASLR, ce qui pourrait rendre une seconde vulnérabilité plus facile à exploiter.
Au moment de rédiger ces lignes, il n’y a pas de preuve de concept (PoC) pour le CVE-2026-11645 dans les sources citées, et Google n’a pas dévoilé de détails techniques sur l’exploitation ou la victimologie. SecurityWeek note qu’aucune information n’est disponible sur les attaques, bien qu’il soit dit que le zero-day ait probablement été associé à une faille de sortie de bac à sable dans des opérations réelles.
Mitigation du CVE-2026-11645
La première mesure de mitigation du CVE-2026-11645 est de mettre à jour Chrome aux versions Stable corrigées publiées par Google le 8 juin 2026. Les utilisateurs qui ne mettent pas à jour manuellement recevront généralement la correction automatiquement au prochain redémarrage du navigateur, mais Google indique que le déploiement peut prendre des jours ou des semaines pour atteindre tous les utilisateurs.
Pour les défenseurs, la détection of du CVE-2026-11645 est limitée car Google a volontairement retenu des informations techniques plus approfondies, et il n’y a pas de IOCs liés à l’exploitation de du CVE-2026-11645 dans les rapports cités. En pratique, les équipes devraient détecter l’exposition au CVE-2026-11645 en identifiant les installations Chrome non gérées ou obsolètes, en priorisant les groupes d’utilisateurs à haut risque, et en confirmant que les flottes d’entreprises ont atteint les versions corrigées 149.
FAQ
Qu’est-ce que le CVE-2026-11645 et comment fonctionne-t-il ?
Le CVE-2026-11645 est une faille de sécurité mémoire V8 dans Chrome de haute sévérité. Google la décrit comme un accès mémoire hors des limites dans V8, et les rapports publics disent qu’un attaquant distant peut utiliser une page HTML spécialement conçue pour déclencher le bug et potentiellement exécuter du code dans le bac à sable du navigateur.
Quand le CVE-2026-11645 a-t-il été découvert pour la première fois ?
Les sources publiques ne fournissent pas de date de découverte privée, mais l’avis de Google et SecurityWeek indiquent que le problème a été signalé fin avril 2026 par un chercheur anonyme. Google a annoncé la correction le 8 juin 2026, et la couverture médiatique a suivi le 9 juin 2026.
Quel est l’impact du CVE-2026-11645 sur les systèmes ?
L’impact principal est la corruption de la mémoire dans le processus du navigateur. Les rapports publics disent que l’exploitation peut exposer la mémoire en dehors du tampon prévu, provoquer des plantages, et potentiellement permettre l’exécution de code arbitraire dans le bac à sable de Chrome.
Le CVE-2026-11645 peut-il m’affecter encore en 2026 ?
Oui. Les systèmes peuvent encore être exposés en 2026 s’ils continuent à exécuter des versions de Chrome sur bureau non corrigées et que les utilisateurs visitent du contenu web malveillant avant que la mise à jour soit appliquée. Google indique explicitement qu’un exploit existe à l’état sauvage.
Comment puis-je me protéger contre le CVE-2026-11645 ?
Mettez à jour Chrome immédiatement vers la dernière version Stable, redémarrez le navigateur pour s’assurer que le correctif est appliqué, et vérifiez que les points d’extrémité gérés n’exécutent plus de versions anciennes. Comme Google a restreint les détails techniques, le patch rapide est la défense la plus fiable.
