Chrome 143 comble 13 vulnérabilités, redémarrage recommandé
Google a promu Chrome 143 sur le canal Stable le 2 décembre 2025 : cette mise à jour corrige 13 vulnérabilités affectant Windows, macOS, Linux ainsi que des déploiements associés pour Android et iOS. Les builds distribués sont Desktop 143.0.7499.40 pour Linux, 143.0.7499.40/41 pour Windows et macOS, Android 143.0.7499.52 et iOS 143.0.7499.38.
La société et la presse spécialisée recommandent de mettre à jour dès que possible et de relancer (« Relaunch ») le navigateur pour activer les correctifs. La diffusion est progressive : un déploiement « early stable » a commencé fin novembre (builds initiales du 20 nov.) avant la promotion complète au Stable le 2 décembre 2025.
Détails de la mise à jour
Chrome 143 est proposé en versions distinctes selon les plateformes : Desktop (Linux/Windows/macOS) avec les builds 143.0.7499.40/41, Android en 143.0.7499.52 et iOS en 143.0.7499.38. Le déploiement public s’effectue progressivement sur plusieurs jours/semaines après la promotion au canal Stable.
Google précise que, pour des raisons de sécurité, certains détails peuvent rester restreints jusqu’à ce qu’une majorité d’utilisateurs soit patchée : « Access to bug details and links may be kept restricted until a majority of users are updated with a fix. » Cette pratique vise à réduire le risque d’exploitation avant que le correctif soit largement appliqué.
La mise à jour contient des corrections pour Windows, macOS et Linux, ainsi que des déploiements associés pour Android et iOS publiés début décembre 2025. Les utilisateurs peuvent vérifier la disponibilité via chrome://settings/help ou Menu → Aide → À propos de Google Chrome.
Vulnérabilités corrigées
Au total 13 problèmes de sécurité sont corrigés dans Chrome 143 : 4 classés « High », 3 « Medium » et 6 « Low ». Les zones affectées couvrent le moteur JavaScript V8, DevTools, Digital Credentials, le composant Downloads, WebRTC, Media Stream, Passwords et d’autres sous-systèmes.
Google publie la liste des CVE associées : CVE-2025-13630 à CVE-2025-13640 (13 entrées). Parmi ces CVE, plusieurs concernent des corruptions mémoire (type confusion, use-after-free), des conditions de course et des implémentations inappropriées.
La presse spécialisée souligne que certains correctifs pourraient prévenir des exécutions de code arbitraire si une exploitation était possible, en particulier pour les vulnérabilités touchant V8. Toutefois, au moment de l’annonce, aucune exploitation « in the wild » confirmée n’a été signalée par Google ni par les médias.
CVE clés et primes
La vulnérabilité la plus mise en avant est CVE-2025-13630, une type confusion dans V8 classée High, rapportée par Shreyas Penkar (@streypaws) avec une prime annoncée de $11 000. V8 étant le moteur JavaScript, ce type de bug est considéré comme particulièrement critique.
CVE-2025-13631 est une mauvaise implémentation (« inappropriate implementation ») dans Google Updater, également classée High et rapportée par Jota Domingos, avec une prime de $3 000. D’autres High incluent des problèmes dans DevTools (CVE-2025-13632, rapporté par Leandro Teles) et un use-after-free dans Digital Credentials (CVE-2025-13633, rapporté par l’équipe Chrome).
La notice indique aussi plusieurs récompenses : par exemple $3 000 pour CVE-2025-13635, $1 000 pour CVE-2025-13636, et plusieurs autres primes marquées « TBD » ou « N/A » selon le cas. Google affiche régulièrement ces montants pour encourager la divulgation responsable.
Impact technique et risque
Les correctifs traitent notamment de corruptions mémoire (type confusion, use-after-free), de conditions de course et d’implémentations inappropriées. Ces classes de vulnérabilités peuvent, en théorie, permettre l’exécution de code arbitraire ou des contournements de sécurité si elles sont exploitées.
Les spécialistes rappellent que V8 est une cible privilégiée pour des exploitations critiques car il gère l’exécution du JavaScript. La présence d’une type confusion classée High (CVE-2025-13630) explique l’urgence des mises à jour pour réduire la fenêtre d’opportunité pour d’éventuels attaquants.
Malgré la gravité technique potentielle, Google et la couverture presse (PCWorld, Forbes, CybersecurityNews) confirment qu’aucune exploitation active n’était connue au moment de l’annonce, ce qui laisse une opportunité pour appliquer les correctifs avant que des techniques d’exploitation publiques n’apparaissent.
Comment mettre à jour et relancer Chrome
Pour appliquer la mise à jour, ouvrez Chrome, allez dans le menu (⋮) → Aide → À propos de Google Chrome (ou tapez chrome://settings/help). Chrome télécharge automatiquement la nouvelle version en arrière-plan puis demande de « Relaunch » pour activer le correctif.
Il est important de relancer le navigateur après le téléchargement : sans redémarrage, le navigateur continue d’exécuter l’ancienne version non corrigée. Les médias insistent sur l’urgence de cette action pour les utilisateurs individuels et les postes sensibles.
Si la mise à jour n’apparaît pas immédiatement, la diffusion étant progressive, réessayez plus tard ou vérifiez les politiques d’entreprise qui peuvent contrôler le déploiement. Pour Android et iOS, mettez à jour via le Play Store ou l’App Store selon les plateformes.
Conseils pour entreprises et administrateurs
Les administrateurs IT doivent contrôler les versions déployées via la console d’administration Chrome Enterprise et appliquer des politiques pour forcer la mise à jour si nécessaire. Google fournit des notes et des policies pour la gestion centralisée des mises à jour et la documentation de maintenance.
Il est recommandé de planifier un redémarrage contrôlé des postes et serveurs concernés, de vérifier les versions installées et de consigner l’opération dans les procédures de sécurité. Les équipes de sécurité doivent aussi surveiller les communications futures de Google pour toute divulgation additionnelle lorsque la majorité des utilisateurs sera mise à jour.
Enfin, mettez en place des mécanismes de surveillance pour détecter des comportements suspects sur les postes utilisateurs (exfiltration, processus inhabituels) et appliquez les meilleures pratiques : inventaire des endpoints, politiques de mise à jour automatiques et formation des utilisateurs pour réduire le risque global.
En résumé, Chrome 143 corrige 13 vulnérabilités (4 classées High) et est disponible pour desktop, Android et iOS : mettez à jour et relancez votre navigateur dès que possible.
Pour vérifier et activer la mise à jour : Menu → Aide → À propos de Google Chrome (chrome://settings/help) puis cliquez sur « Relaunch » une fois le téléchargement terminé.
