**Google** a publié des mises à jour de sécurité pour son navigateur web Chrome afin de corriger deux vulnérabilités de haute gravité qui, selon l'entreprise, ont été exploitées dans la nature. ### Correction de vulnérabilités zero-day Les mises à jour corrigent les vulnérabilités suivantes : * **CVE-2026-3909** (score CVSS : 8.8) - Une vulnérabilité d'écriture hors limites dans la bibliothèque graphique 2D **Skia**. Cette faille permet à un attaquant distant d'accéder à la mémoire hors limites via une page HTML spécialement conçue. * **CVE-2026-3910** (score CVSS : 8.8) - Une vulnérabilité d'implémentation inappropriée dans le moteur JavaScript et WebAssembly **V8**. Cela permet à un attaquant distant d'exécuter du code arbitraire à l'intérieur d'un sandbox via une page HTML spécialement conçue. Les deux vulnérabilités ont été découvertes et signalées en interne par **Google** le 10 mars 2026. Les détails sur l'exploitation active restent rares afin d'éviter tout abus supplémentaire. « **Google** est conscient que des exploits pour **CVE-2026-3909** et **CVE-2026-3910** existent dans la nature », a noté l'entreprise dans son annonce officielle. ### Une série d'exploits zero-day Cette mise à jour intervient peu de temps après que **Google** a corrigé **CVE-2026-2441**, un bug critique de type use-after-free dans le composant CSS de Chrome, qui a également été exploité comme un zero-day. Il s'agit du troisième zero-day de Chrome activement utilisé et corrigé par **Google** depuis le début de l'année. ### Mettez à jour Chrome immédiatement Il est fortement conseillé aux utilisateurs de mettre à jour leur navigateur Chrome vers les versions 146.0.7680.75/76 pour Windows et Apple macOS, et 146.0.7680.75 pour Linux. Pour mettre à jour, accédez à Plus > Aide > À propos de Google Chrome et sélectionnez Redémarrer. Les utilisateurs d'autres navigateurs basés sur Chromium, y compris **Microsoft Edge**, **Brave**, **Opera** et **Vivaldi**, devraient également appliquer les correctifs dès qu'ils seront disponibles pour leurs navigateurs respectifs. ### CISA ajoute les vulnérabilités au catalogue KEV La **Cybersecurity and Infrastructure Security Agency (CISA)** des États-Unis a ajouté les deux vulnérabilités de **Google** Chrome à son catalogue des vulnérabilités connues exploitées (**KEV**), obligeant les agences du Federal Civilian Executive Branch (FCEB) à appliquer les correctifs avant le 27 mars 2026.