Après un premier essai à la fin 2024, le LLM Big Sleep de Google a découvert une autre faille dans le navigateur Chrome.
L’IA est clairement une aide pour les équipes de cybersécurité en détectant des failles. C’est ce que vient de faire Google avec son LLM Big Sleep spécialisé dans ce domaine. Fondée sur Gemini, ce dernier est capable d’identifier des failles sans intervention humaine. Il a déjà fait ses preuves en novembre dernier et vient de récidiver. Sur le blog Chrome Releases, Srinivas Sista, chercheur signale que le moteur JavaScript V8 est touché par une faille critique. Google l’a rapidement corrigée dans les versions 141.0.7390.122/123 pour Windows et macOS et 141.0.7390.122 pour Linux. Classée à haut risque, la CVE-2025-12036 n’a pour l’instant pas été exploitée.
Pour se protéger, le navigateur se met normalement à jour automatiquement, mais il est également possible de vérifier manuellement via Aide > À propos de Google Chrome. La mise à jour est aussi disponible pour Android (141.0.7390.122). Le canal Extended Stable pour Windows et macOS reste pour l’instant sur Chromium 140.0.7339.249.
Et les autres navigateurs ?
Les autres navigateurs basés sur Chromium, comme Edge, Brave et Vivaldi, devront rapidement suivre pour corriger la faille. Vivaldi a déjà adapté sa version bêta publique 7.7 (« Snapshot ») à Chromium 142. Comme aucune version plus récente n’est encore disponible dans le canal Extended Stable, la faille CVE-2025-12036 ne concerne probablement que Chromium 141 selon Google.
Opera, de son côté, avait temporairement réduit son retard avec la version 122 basée sur Chromium 138, sortie le 11 septembre, en y intégrant des correctifs de sécurité supplémentaires. Depuis, peu de progrès ont été faits vers Chromium 142, attendu la semaine prochaine. La version bêta 123 repose sur Chromium 139.
Une mise à jour de sécurité pour Chrome corrige une vulnérabilité trouvée par l’outil d’IA interne Big Sleep. De type use-after-free et affectant la bibliothèque graphique Angle, elle n’a pas encore été exploitée, mais Google la classe comme critique.
Google a corrigé une vulnérabilité critique dans Chrome pour les versions 139.0.7258.154/155 pour Windows et macOS et 139.0.7258.154 pour Linux. Selon l’éditeur, aucune exploitation active n’a été constatée à ce stade. Les autres navigateurs reposant sur Chromium devraient suivre prochainement avec leurs propres correctifs. La CVE-2025-9478 est un bogue de mémoire de type « use-after-free » dans la bibliothèque graphique Angle. Elle a été détectée non par un chercheur externe, mais par Big Sleep, un outil d’analyse automatisée interne à Google reposant sur la technologie Gemini. Conçu pour repérer des vulnérabilités de manière autonome, cet agent « IA » reste supervisé par des experts humains pour valider ses découvertes. Dans ce cas, Google a confirmé la criticité de la faille. Il s’agit du deuxième correctif en une semaine lié à une vulnérabilité repérée par Big Sleep.
Le navigateur Google se met généralement à jour automatiquement, mais les utilisateurs peuvent la forcer via le menu Aide > À propos de Google Chrome. La version Android (139.0.7258.158), publiée en parallèle, embarque les mêmes correctifs que la version desktop. Chrome 140 est attendu dès la semaine prochaine, avec certaines préversions déjà diffusées.
Les autres navigateurs Chromium en attente
Les éditeurs de navigateurs concurrents basés sur Chromium accusent un retard dans le déploiement des correctifs. Microsoft Edge, Brave et Vivaldi n’ont pour l’heure intégré que les correctifs de la semaine passée, Vivaldi reposant en outre encore sur la branche Extended Stable de Chromium 138.
Opera, de son côté, reste bloqué sur Chromium 135, une version obsolète que Google n’entretient plus depuis avril. Malgré une mise à jour corrective publiée le 25 août, l’éditeur prévoit d’intégrer Chromium 137 seulement dans sa prochaine version actuellement en bêta, attendue aux alentours de la sortie de Chrome 140.