La faille CVE-2025-4664 de Chrome, Zero Day, expose l'activité des navigateurs Windows et Linux.

Une vulnérabilité récemment découverte dans Google Chrome et les navigateurs Chromium expose les utilisateurs à un risque de fuite de données. Identifiée sous la référence CVE-2025-4664 , cette faille permet aux attaquants d'extraire des informations sensibles, telles que les jetons de connexion et les identifiants de session, des sites web précédemment visités.

Le problème de sécurité a été détaillé aujourd'hui par Wazuh, une entreprise de cybersécurité spécialisée dans la détection des menaces open source. Il concerne les utilisateurs de Windows et de Linux, y compris les systèmes Debian et Gentoo.

Le problème réside dans la gestion par Chrome de l'en-tête HTTP « Link » lors du chargement de sous-ressources telles que des images et des scripts. Alors que la plupart des navigateurs ignorent les politiques de référencement dans ces en-têtes, Chrome les accepte, même pour les requêtes multi-origines. Cela signifie qu'un attaquant peut intentionnellement définir une politique assouplie, telle que unsafe-url , pour accéder aux URL de référencement complètes.

Ces URL peuvent contenir des données sensibles provenant d'autres sites récemment visités par un utilisateur. Si un attaquant contrôle le serveur de destination, il peut collecter ces données discrètement à l'insu de l'utilisateur.

Les utilisateurs des systèmes suivants sont vulnérables si leurs navigateurs n'ont pas été mis à jour :

• Windows : versions de Google Chrome antérieures à 136.0.7103.113

• Debian 11 Linux : Chromium jusqu'à la version 120.0.6099.224

• Gentoo Linux : versions Chrome ou Chromium antérieures à 136.0.7103.113

Google a publié une mise à jour d'urgence pour corriger la vulnérabilité dans Chrome sous Windows et Chromium sous Gentoo Linux. Les utilisateurs de Debian doivent désinstaller les versions concernées de Chromium en attendant la disponibilité d'une version corrigée.

Si Chrome ne se met pas à jour automatiquement, suivez ces étapes pour vous assurer que vous utilisez la dernière version et que vous êtes protégé contre CVE-2025-4664 :

1. Ouvrez Chrome – Lancez Google Chrome sur votre appareil.
2. Accédez au menu – Cliquez sur les trois points verticaux dans le coin supérieur droit de la fenêtre du navigateur.
3. Sélectionnez « Aide » → « À propos de Google Chrome » – Cela ouvrira un nouvel onglet qui affiche votre version actuelle et recherche automatiquement les mises à jour.
4. Attendez que Chrome recherche les mises à jour – Si une version plus récente est disponible, Chrome commencera à la télécharger immédiatement.
5. Cliquez sur « Relancer » – Une fois la mise à jour téléchargée, cliquez sur « Relancer » pour redémarrer le navigateur et terminer l’installation.

Pour confirmer la mise à jour, retournez dans Aide > À propos de Google Chrome . Le navigateur devrait maintenant afficher le numéro de la dernière version et le message « Google Chrome est à jour ».

Si vous utilisez Windows, assurez-vous que le service de mise à jour de Chrome est activé dans les paramètres système ou via l'éditeur de stratégie de groupe. Sur les systèmes Linux, en particulier ceux utilisant Chromium, les mises à jour peuvent nécessiter des commandes du gestionnaire de paquets ou des téléchargements manuels selon la distribution.

L'article de blog de Wazuh explique l'importance de la détection proactive des vulnérabilités. Leurs outils offrent un suivi et des informations en temps réel qui aident les administrateurs à maîtriser les menaces de sécurité, notamment lorsque des failles zero-day comme celle-ci se produisent.