Suivre 
Les zero-days de Chrome continuent de poser un risque majeur pour les défenseurs cyber. Au début de cette année, Google a corrigé CVE-2026-2441, le premier zero-day de Chrome activement exploité de 2026. Désormais, une autre mise à jour d’urgence a été publiée, corrigeant deux autres failles déjà exploitées dans la nature, CVE-2026-3910 dans le moteur V8 JavaScript et WebAssembly de Chrome et CVE-2026-3909, un bug d’écriture hors limites dans Skia.
Google décrit CVE-2026-3910 comme un problème de mise en œuvre inappropriée dans Chrome V8. En essence, une page HTML conçue peut permettre à un attaquant distant d’exécuter du code arbitraire dans le bac à sable du navigateur.
Le dernier correctif d’urgence de Chrome arrive face à une menace zéro-day croissante. Le groupe Google Threat Intelligence a suivi 90 zero-days exploités dans la nature en 2025, contre 78 en 2024, et a constaté que les technologies d’entreprise représentaient 43 cas, soit un record de 48 % de l’exploitation observée.
Inscrivez-vous à la plate-forme AI-Native Detection Intelligence de SOC Prime, soutenue par des technologies de pointe et une expertise en cybersécurité de haut niveau pour surpasser les menaces cyber et construire une posture de cybersécurité résiliente. Cliquez sur Explorer les détections pour accéder à la collection complète de contenu SOC pour la détection d’exploitation de vulnérabilités, filtrée par le tag personnalisé “CVE”.
Les détections du jeu de règles dédié peuvent être appliquées sur plus de 40 plateformes SIEM, EDR et Data Lake et sont mappées au dernier cadre MITRE ATT&CK® v18.1. Les équipes de sécurité peuvent également tirer parti de Uncoder AI pour accélérer l’ingénierie de détection end-à-fin en générant des règles directement à partir de rapports de menaces en direct, en affinant et validant la logique de détection, en visualisant automatiquement les flux d’attaque, en convertissant les IOC en requêtes de chasse personnalisées, et en traduisant instantanément le code de détection dans divers formats de langage. converting IOCs into custom hunting queries, and instantly translating detection code across diverse language formats.
Analyse de CVE-2026-3910
Selon l’ avis de sécurité de Google, CVE-2026-3910 est une vulnérabilité de haute sévérité dans V8, le moteur JavaScript et WebAssembly utilisé par Chrome. Elle peut être déclenchée via une page HTML conçue et peut permettre l’exécution de code arbitraire dans le bac à sable du navigateur. Comme V8 traite le contenu actif lors de la navigation normale, l’exploitation peut commencer par quelque chose d’aussi simple que la visite d’un site web malveillant ou compromis.
Le risque est considérable car Chrome est profondément intégré dans le travail quotidien des entreprises. Une faille V8 activement exploitée peut transformer une navigation ordinaire en un chemin pour le vol d’identifiants, la livraison de code malveillant, ou un compromis plus large, surtout lorsqu’elle est combinée à d’autres bugs ou à du phishing.
Google a confirmé que CVE-2026-3910 est exploité dans la nature, mais n’a pas publié de détails techniques sur la chaîne d’exploitation.
La même mise à jour de Chrome a également corrigé CVE-2026-3909, une vulnérabilité d’écriture hors limites de haute sévérité dans la bibliothèque graphique Skia. Google affirme que cette faille est également exploitée dans la nature. Comme elle affecte un autre composant principal du navigateur et a été corrigée dans la même publication d’urgence, les organisations devraient appliquer la mise à jour complète sans délai plutôt que de se concentrer uniquement sur CVE-2026-3910.
Atténuation de CVE-2026-3910
L’atténuation recommandée est de mettre à jour Chrome immédiatement vers la dernière version stable corrigée. Google dit que les versions fixes pour desktop sont 146.0.7680.75 et 146.0.7680.76 pour Windows et macOS et 146.0.7680.75 pour Linux. Parce que Google a confirmé l’exploitation dans la nature, les organisations devraient donner la priorité à la mise à jour sur les points d’extrémité des employés, les stations de travail administratives, et les systèmes partagés utilisés pour la navigation.
Les organisations utilisant des navigateurs basés sur Chromium, tels que Microsoft Edge, Brave, Opera, et Vivaldi devraient également surveiller les patchs des fournisseurs correspondants, car ces produits peuvent hériter d’expositions du même code de base sous-jacent.
De plus, en tirant parti de la plateforme AI-Native Detection Intelligence de SOC Prime , soutenue par une expertise de défense cyber de premier plan, les organisations mondiales peuvent adopter une posture de sécurité résiliente et transformer leur SOC pour toujours garder une longueur d’avance sur les menaces émergentes liées à l’exploitation des zéro-days.
FAQ
Qu’est-ce que CVE-2026-3910 et comment fonctionne-t-il ?
CVE-2026-3910 est une vulnérabilité de haute sévérité dans le moteur V8 JavaScript et WebAssembly de Chrome. Google le décrit comme un défaut d’implémentation inapproprié pouvant être déclenché par une page HTML conçue, permettant à un attaquant distant d’exécuter du code arbitraire dans le bac à sable du navigateur.
Quand CVE-2026-3910 a-t-il été découvert pour la première fois ?
L’avis de Google indique que la vulnérabilité a été signalée le 10 mars 2026.
Quel est l’impact de CVE-2026-3910 sur les systèmes ?
Le principal risque est que du contenu web malveillant pourrait déclencher l’exécution de code à l’intérieur du bac à sable du navigateur de Chrome. Dans des attaques réelles, cela peut transformer une navigation de routine en un point d’entrée pour le vol de crédentiels, la livraison de logiciels malveillants, ou un compromis ultérieur lorsqu’il est associé à d’autres techniques.
CVE-2026-3910 peut-il encore m’affecter en 2026 ?
Oui. Toute installation de Chrome qui n’a pas encore été mise à jour vers la version corrigée peut encore être exposée. Google dit explicitement que des exploits pour CVE-2026-3910 existent dans la nature.
Comment puis-je me protéger contre CVE-2026-3910 ?
Mettez à jour Chrome vers la version 146.0.7680.75 ou 146.0.7680.76 sur Windows et macOS ou 146.0.7680.75 sur Linux, puis relancez le navigateur pour vous assurer que la version corrigée est en cours d’exécution. Les organisations utilisant des alternatives basées sur Chromium devraient appliquer les correctifs des fournisseurs dès qu’ils sont disponibles.
