AgenceEvana
Retour aux bulletins
Élevée2026-03-12CVSS 8.8CVE-2026-3910 (2026-03-12)chromev8zero-dayrcebrowser

Google Chromium V8 Remote Code Execution (Zero-Day)

Une vulnérabilité zero-day dans le moteur JavaScript V8 de Chrome permet l'exécution de code à distance via une simple visite sur une page web malveillante. Activement exploitée in the wild.

Contexte

Le Threat Analysis Group (TAG) de Google a découvert un zero-day activement exploité dans le moteur JavaScript V8 le 10 mars 2026. Référencée CVE-2026-3910 (ajoutée au CISA KEV le 13 mars 2026), la faille affecte tous les navigateurs basés sur Chromium — Chrome, Edge, Opera, Brave — ainsi que Node.js et les autres runtimes dépendants de V8.

Vulnérabilité

Il s'agit d'une implémentation incorrecte dans V8 (CWE-94 : Code Injection, CWE-119 : Improper Restriction of Operations within Memory Buffer Bounds). Un attaquant peut concevoir une page HTML malveillante qui déclenche des opérations mémoire incorrectes dans V8, permettant l'exécution de code arbitraire dans la sandbox du navigateur.

L'attaque ne requiert aucune authentification — il suffit que la victime visite une page web compromise ou contrôlée par l'attaquant.

Exploit in the Wild

Google TAG a confirmé qu'un exploit existe in the wild, indiquant une exploitation active — probablement par des threat actors étatiques ou avancés étant donné l'implication de TAG. Bien que l'exécution de code initiale soit sandboxée, elle peut être chaînée avec des vulnérabilités de sandbox escape pour une compromission complète du système.

Impact

  • Impact élevé sur la confidentialité, l'intégrité et la disponibilité
  • La simple visite d'un site malveillant ou compromis suffit à déclencher l'exploit
  • Chrome détient ~65% de parts de marché des navigateurs — la surface d'attaque est massive
  • Tous les navigateurs basés sur Chromium sont affectés
  • Deadline de remédiation CISA : 27 mars 2026

Indicateurs de compromission (IOCs)

Aucun IOC réseau spécifique (domaines, IPs) n'a été publié par Google TAG à ce stade. Surveiller les indicateurs comportementaux suivants :

  • Anomalies de processus : le processus de rendu du navigateur qui lance des shells, des hôtes de scripts ou des utilitaires OS inhabituels
  • Anomalies réseau : processus de rendu avec des connexions sortantes persistantes après des séquences de crash/redémarrage
  • Indicateurs de contenu : requêtes vers des URLs inhabituelles hébergeant du JavaScript obfusqué ou des payloads SVG non standards juste avant un comportement suspect
  • Post-exploitation : callbacks vers des endpoints à faible réputation ou tentatives soudaines d'exfiltration de données
  • Schémas de crash : crashs répétés du navigateur localisés dans la même région mémoire de V8

Remédiation

  1. Mettre à jour Chrome vers la version 146.0.7680.75 (Linux) ou 146.0.7680.75/76 (Windows/Mac) ou ultérieure.
  2. Mettre à jour tous les navigateurs basés sur Chromium (Edge, Opera, Brave) vers leurs versions corrigées respectives.
  3. Imposer les mises à jour automatiques des navigateurs dans l'organisation.
  4. Envisager des technologies d'isolation de navigateur pour les utilisateurs à haut risque.