Google a déployé Chrome 136, la dernière version stable de son navigateur pour Windows, macOS, Linux et Android. Disponible sous les numéros de version 136.0.7103.48/49 (Windows et Mac), 136.0.7103.59 (Linux) et 136.0.7103.60 (Android), cette mise à jour se concentre sur la correction de failles de sécurité et l’introduction de fonctionnalités visant à renforcer la protection des utilisateurs.
Chrome 136 corrige huit vulnérabilités de sécurité, dont quatre sont détaillées dans le blog officiel des Chrome Releases. Parmi celles-ci, une faille critique de type heap buffer overflow dans le code HTML (CVE-2025-4096) a été signalée par un chercheur externe, récompensé de 5 000 $ dans le cadre du programme de bug bounty de Google. D’autres corrections concernent des problèmes dans les Developer Tools, notamment une validation insuffisante des données et une implémentation incorrecte, ainsi que des failles découvertes en interne par les équipes de Google via des outils comme AddressSanitizer et MemorySanitizer. Aucun exploit actif n’a été signalé pour ces vulnérabilités, mais leur gravité globale est qualifiée de élevée, incitant les utilisateurs à mettre à jour rapidement.
Google a également versé un total de 10 000 $ en récompenses pour les signalements externes, incluant deux primes de 2 000 $ et une de 1 000 $ pour d’autres failles. Toute cette générosité de la firme s’inscrit dans une démarche continue pour sécuriser Chrome, qui reste une cible privilégiée en raison de sa large adoption.
Un des changements principaux de Chrome 136 est l’introduction d’un partitionnement des liens visités pour contrer les fuites d’historique de navigation, un problème persistant depuis plus de 20 ans. Jusqu’à présent, la pseudo-classe CSS :visited permettait à des sites malveillants de détecter si un utilisateur avait visité un lien spécifique en analysant les changements de style (comme la couleur des liens). Cette faille, exploitée via des attaques par canal auxiliaire, exposait les utilisateurs à du tracking, du profilage ou même des attaques de phishing.
Il faut également mentionner ici que cette version de Chrome adopte une solution de partitionnement à triple clé : chaque lien visité est désormais enregistré avec trois paramètres : l’URL du lien, le domaine de premier niveau du site et l’origine de la frame où le lien est affiché. Ainsi, un site ne peut styliser un lien comme « visité » que s’il a été cliqué depuis ce même site ou une frame de même origine. Une exception existe pour les liens internes (same-origin), qui peuvent être marqués comme visités même sans clic préalable, préservant ainsi une expérience utilisateur fluide. Cette mesure, testée depuis Chrome 132 via le flag chrome://flags/#partition-visited-link-database-with-self-links, est désormais activée par défaut.
Ce changement, salué comme une avancée très importante, aligne Chrome sur des protections similaires adoptées par Firefox dès 2010 et Safari. Il met fin à une longue série d’attaques par canal auxiliaire, rendant obsolètes de nombreuses techniques de détection d’historique.
Sur Android, Chrome 136 introduit une fonctionnalité de vérification des fichiers APK téléchargés via le navigateur. Actuellement, cette option est limitée à la collecte de télémétrie, envoyant des informations sur les APK à Google pour analyser leur contenu à la recherche de code malveillant. À l’avenir, Google prévoit d’afficher des avertissements et de bloquer automatiquement les APK jugés dangereux, une mesure visant à protéger les utilisateurs contre les malwares mobiles. Cette fonctionnalité est pour l’instant réservée aux utilisateurs ayant activé la Protection renforcée dans Google Safe Browsing.
Source : Chrome Releases (Google Blog)
