Category Archives: Digital Security

Et queden tres minuts? Llegeix el resum ampliat: quan la compromissió esdevé rutina.

Errors en sèrie, defenses tardanes — Postura Zero-DOM

El 2025 es llegeix com una sèrie d’espionatge on l’atacant sempre va una passa al davant. CVE-2025-2783 al març, CVE-2025-4664 al maig, CVE-2025-5419 al juny i el Chrome V8 zero-day CVE-2025-10585 al setembre. A cada episodi, el mateix patró: torçar prou la memòria per obtenir un punt de suport. Als mercats grisos, una RCE estable supera sovint els 500.000 $. Mentrestant, els defensors compren temps: els pegats arriben quan les campanyes ja estan en marxa.

Chrome V8 zero-day CVE-2025-10585: per què aquest pivot ho canvia tot

Chrome V8 confusió RCE no és un accident aïllat: és el símptoma d’un model on el navegador executa codi no fiable a tocar dels teus secrets. Mentre identitats, sessions i claus travessin el DOM o romanguin a la memòria del navegador, una RCE drive-by via confusió de tipus a V8 n’hi ha prou per exposar-les. A continuació expliquem què passa realment, qui ho explota i com recuperar l’avantatge — començant per actualitzar a Stable 140.0.7339.185/.186 i endurir el runtime amb una postura Zero-DOM.

Què revela el Chrome V8 zero-day CVE-2025-10585

CVE-2025-10585 és una fallada de memòria al motor V8 — una type confusion al runtime JavaScript/WebAssembly. Una dada es pren per una altra i obre un pas on un script pot executar codi només en visitar una pàgina parany. El Google TAG va confirmar explotació in the wild quan es van publicar les versions 140.0.7339.185/.186 (Windows/Mac) i 140.0.7339.185 (Linux); Android 140.0.7339.155. En breu: l’atac va precedir el pegat.

Dues conseqüències.

1. La compromissió pot ser silenciosa: cap indicador visual.
2. Un cop el codi s’executa, el navegador deixa de ser un contenidor i esdevé un corredor: cookies, tokens, extensions i sessions al núvol es converteixen en portes laterals a l’abast.

Zero-day Chrome V8 el 2025: la cadència

El patró es repeteix: fallades de memòria a V8 al llarg de l’any, sincronitzades amb campanyes en curs. Manté una bretxa persistent entre explotació i pegat, sobretot quan permet RCE.

Mercat: un zero-day fiable de V8 (RCE/escapada de sandbox) sovint supera els 500.000 $.

Qui explota un Chrome V8 zero-day com CVE-2025-10585?

Tres esferes convergeixen. Equips cibercriminals monetitzen sessions i comptes via publicitat maliciosa i sites compromesos. Actors alineats amb estats l’empren amb parcimònia i precisió per travessar silenciosament fronteres tècniques d’organitzacions escollides. Intermediaris avaluen fiabilitat i abast abans d’encaixar una cadena d’explotació. L’atribució TAG apunta a un teatre d’actors estatals.

Risc sectorial i exemples

• Administració pública — portals d’e-gov, consoles d’administració.
• Finances i assegurances — tenants SaaS i banca en línia.
• Sanitat — sistemes clínics i missatgeria sensible.
• Energia/indústria — entorns IT/OT híbrids.
• Mobilitat — ecosistemes Android i flotes corporatives.

Exemples il·lustratius — evita atribuir sense confirmació oficial.

Impacte en l’usuari: d’un clic ordinari a pèrdua de sobirania

Una sola pàgina pot plantar codi que observa i desvia la vida d’una pestanya. L’usuari no veu res; el navegador transporta cookies, tokens i extensions, que esdevenen palanques d’elevació i persistència. El risc és sistèmic: molts serveis tracten el navegador com un espai de confiança. Un zero-day V8 recorda que no ho és.

Què fer davant de CVE-2025-10585: tracta el navegador com un runtime hostil

Actualitza a 140.0.7339.185/.186 (Windows/Mac) o 140.0.7339.185 (Linux) via Ajuda → Quant a Google Chrome; Android: 140.0.7339.155. Separa usos (perfil/VM dedicats per a operacions sensibles), redueix superfície (desactiva WebAssembly on sigui possible, limita JIT en tercers crítics), governa extensions (llista blanca, auditoria, sense sideloading) i segueix els butlletins oficials.

En una línia: aplica pegats ràpid, aïlla allò crític i desbrossa el navegador.

{
  "ExtensionInstallAllowlist": ["<IDs>"],
  "ExtensionInstallBlacklist": ["*"],
  "URLAllowlist": ["https://intra.example.tld/*"],
  "URLBlacklist": ["*"],
  "DefaultPopupsSetting": 2,
  "JavascriptAllowedForUrls": ["https://intra.example.tld/*"],
  "AutofillAddressEnabled": false,
  "PasswordManagerEnabled": false,
  "WebAssemblyEnabled": false
}

Per què està lligat al DOM — i a la nostra crònica de Clickjacking

Una RCE a V8 (CVE-2025-10585) i el clickjacking d’extensions basat en DOM poden acabar igual: si els secrets travessen el DOM o resideixen a la memòria del navegador, són accessibles. La primera via (RCE V8) pren control del procés; la segona (UI-redressing/BITB) força secrets en un DOM parany. En tots dos casos, el DOM és la superfície d’exfiltració.

• Superfície comuna: DOM i memòria del navegador (autofill, cookies, tokens, passkeys sincronitzades, extensions).
• Vies d’atac: motor (RCE V8) o interfície (overlays, iframes, focus(), Shadow DOM).
• Mitigació convergent: aïllar usos, governar extensions i adoptar Zero-DOM (secrets fora de DOM/procés, RAM efímera i consentiment físic).

Lectura relacionada… ⤵

Vulnerabilitat Passkeys: Les Claus d’Accés Sincronitzades no són Invulnerables

Versions corregides i cronologia

Anatomia — type confusion a V8

El cursor parpelleja. Al darrere, la memòria està “preparada”: heaps groomats, objectes mal etiquetats, baranes apartades. V8 interpreta una cosa per una altra; la pàgina esdevé vehicle. Cap avís. L’exploit parla el llenguatge ordinari del web — esdeveniments, focus, render — per aterrar execució.

Després del pas — del contenidor al corredor

Un cop el codi corre, el navegador deixa de ser capsa i es transforma en passadís. Cookies i tokens són equipatge; les extensions, portes laterals; les sessions al núvol, una galeria d’estances obertes. No cal ariet: n’hi ha prou amb un pas rutinari.

Actors i incentius

D’una banda, equips criminals recullen sessions per revenda massiva. De l’altra, grups alineats amb estats apunten amb precisió, lligant zero-days a portals coneguts. Al mig, intermediaris compren cadenes d’explotació com si fossin infraestructura: fiabilitat, abast, discreció.

Reescriptura sobirana (Zero-DOM)

Hi ha una versió d’aquesta història on la pestanya compromet el navegador… i no troba res a robar.

• Els secrets no toquen mai el DOM.
• No resideixen al procés del navegador.
• No circulen mai en clar.

Identitats, OTP, passkeys i claus privades viuen en maquinari fora de línia. Només apareixen com a fantasmes efímers a la RAM, desencadenats per una acció física.

Tecnologies sobiranes

• PassCypher HSM PGP: cada secret es vincula a una URL esperada; desviacions, refusades. Contenidors xifrats fins a decisió física verificable.
• PassCypher NFC HSM: toc NFC abans de qualsevol injecció. El navegador només veu transport, no contingut.
• SeedNFC HSM: cold-wallet NFC simplificat. Amb Android NFC + emulador HID-BLE, injecta claus sense portapapers ni DOM.
• EviKeyboard BLE (HID-BLE): senyal xifrat AES-128-CBC; injecció fora de DOM i portapapers.

Senyals febles

Controls ràpids MDM/GPO

• Força actualització i reinici — Intune/JAMF/Workspace ONE: política de Chrome + data límit de relançament.
• Flotes Android — Desplegament via Managed Play a 140.0.7339.155; verifica informes de compliment.
• Desactiva WebAssembly si no és necessari; restringeix JIT en àmbits crítics.
• Governança d’extensions — només llista blanca; sense sideloading; auditoria de permisos.

Què no hem cobert

Ometem intencionadament PoC d’explotació i reproduccions pas a pas. No entrem en bases d’enduriment sectorials ni en l’economia dels mercats d’exploits. Objectiu: exposar el risc sistèmic i mostrar per què un enfocament Zero-DOM de maquinari canvia el desenllaç. Perspectiva — Dissenya per al fracàs elegant: assumeix que el navegador pot caure sense endur-se la teva identitat.

PMF CVE-2025-10585

Got three minutes? Read the extended summary: how compromise becomes routine.

Serial flaws, lagging defenses — Zero-DOM posture

2025 reads like a spy series where attackers stay one step ahead. CVE-2025-2783 in March, CVE-2025-4664 in May, CVE-2025-5419 in June, and the Chrome V8 zero-day CVE-2025-10585 in September. Each episode follows the same script: bend memory just enough to gain a foothold. On the market, a stable RCE can fetch north of $500,000. Defenders meanwhile buy time: patches ship after campaigns are already under way.

Who exploits a Chrome V8 zero-day like CVE-2025-10585?

Three spheres intersect. Cybercrime crews monetise access to sessions and accounts via malvertising and compromised sites. State-aligned actors use the flaw sparingly and precisely to cross technical borders inside selected organisations. Between them, brokers assess reliability and reach before chaining a full exploit kit. The TAG attribution suggests CVE-2025-10585 sits in this state-actor theatre.

User impact: from an ordinary click to loss of sovereignty

A single page may plant code that observes and diverts the life of a tab. The user sees nothing; the browser carries cookies, tokens and extensions — all become levers for elevation and persistence. Across the English-speaking sphere the risk is systemic: public services, messaging, and admin consoles rely on the browser as if it were trusted land. A Chrome V8 zero-day is a reminder it is not.

Why it’s tied to the DOM — and to our Clickjacking column

V8 remote code execution (CVE-2025-10585) and DOM-based extension clickjacking end the same way: if secrets cross the DOM or live in browser memory, they become accessible. The first path (V8 RCE) takes over the process; the second (UI redressing/BITB) forces secrets into a trapped DOM. Either way, the DOM is the exfiltration surface.

• Common surface: DOM & browser memory (autofill, cookies, tokens, synced passkeys, extensions).
• Attack paths: engine (V8 RCE) or interface (overlays, iframes, focus(), Shadow DOM).
• Convergent mitigation: isolate uses, govern extensions, and adopt Zero-DOM (secrets off-DOM/off-process, ephemeral RAM, physical consent).

Related read… ⤵

WebAuthn API Hijacking: A CISO’s Guide to Nullifying Passkey Phishing

Anatomy — V8 type confusion

The cursor blinks. Behind the screen, the script has staged memory: groomed heaps, mislabeled objects, guardrails nudged aside. V8 mistakes a value for what it is not; the page becomes a vehicle. No pop-ups, no warning. The exploit speaks the web’s ordinary language — events, focus, rendering — and leverages it to land execution.

After the crossing — from container to corridor

Once code runs, the browser stops being a box and becomes a hallway. Cookies and tokens turn into luggage; extensions into side doors; cloud sessions into a chain of open rooms. The attacker needs no battering ram — just a routine passage.

Actors & incentives

On one side, cybercrime teams harvest sessions resold in bulk. On the other, state-aligned groups strike with precision, tying zero-days to familiar portals. In between, brokers buy exploit chains like infrastructure: reliability, reach, discretion.

What we did not cover

This column deliberately omits exploitation PoCs and step-by-step reproductions. It also leaves out sector-specific hardening baselines and a deep dive into exploit-market economics. The goal is to expose the systemic risk and show why a hardware Zero-DOM approach changes the outcome. Perspective — Design for graceful failure: assume the browser can fall without taking your identity with it. Anchor secrets in hardware, require physical consent, and treat every tab as disposable.

FAQ CVE-2025-10585

Glossary

V8 — Chrome’s JavaScript/WebAssembly engine (also used by Chromium browsers).

Type confusion — Memory bug where an object is treated as another type; leads to controlled corruption.

HID-BLE — Bluetooth Low Energy keyboard emulation; injects secrets “as if typed,” off-clipboard and off-DOM.

RCE — Remote Code Execution: arbitrary code runs remotely. Zero-day — Vulnerability exploited before a public fix.

DOM — Document Object Model: the in-memory structure of web pages.

BITB — Browser-in-the-Browser: fake frames imitating auth windows.

WebAssembly — Portable binary format executed in browsers.

JIT — Just-in-Time compilation: speeds execution but expands attack surface.

Zero-DOM — Freemindtronic doctrine: no secrets in DOM/process; ephemeral RAM, hardware anchoring (HSM/NFC).

Il vous reste trois minutes ? Lisez la suite du resumé : l’instant où la compromission devient routinière.

Failles en série, défenses en retard — Posture Zero-DOM

2025 se lit comme une série de films d’espionnage où les attaquants ont toujours une longueur d’avance. CVE-2025-2783 en mars, CVE-2025-4664 en mai, CVE-2025-5419 en juin, et Chrome V8 zero-day CVE-2025-10585 en septembre. À chaque épisode, la même trame : tordre juste assez la mémoire pour obtenir un point d’appui. Le marché récompense ces pages au-delà de 500 000 $ lorsqu’une RCE fiable est en jeu. Pendant ce temps, les défenseurs négocient du temps : des mises à jour qui courent derrière des campagnes déjà en mouvement.

En cybersécurité souveraine ↑ Cette chronique appartient à la rubrique Digital Security, tournée vers les exploits, vulnérabilités systémiques et contre-mesures matérielles zero-trust.

Chrome V8 zero-day CVE-2025-10585 : pourquoi ce pivot change tout

La Faille critique V8 — CVE-2025-10585 n’est pas un accident isolé mais le symptôme d’un modèle où le navigateur exécute du code non fiable au plus près de vos secrets. Tant que les identifiants, sessions et clés croisent le DOM ou la mémoire du navigateur, une faille « drive-by » suffit à les exposer. La suite explique ce qui se passe concrètement, qui l’exploite et comment reprendre l’ascendant.

Ce que révèle le Chrome V8 zero-day CVE-2025-10585

CVE-2025-10585 — faille mémoire dans le moteur V8 est une type confusion dans le moteur V8, celui qui interprète JavaScript et WebAssembly. Une valeur prise pour une autre ouvre un passage où un script façonné peut exécuter du code dès la visite d’une page piégée. Le Google Threat Analysis Group a confirmé une exploitation déjà active au moment du correctif Stable 140.0.7339.185/.186 (Windows/Mac) et 140.0.7339.185 (Linux) ; Android 140.0.7339.155. Autrement dit : l’attaque précède la mise à jour.

Deux conséquences en découlent. D’abord, la compromission peut rester silencieuse : rien n’indique à l’écran que le navigateur a franchi la frontière. Ensuite, une fois le code lancé, le navigateur cesse d’être un conteneur et devient un corridor : cookies, tokens, extensions et sessions cloud sont autant de portes latérales à portée de main.

Zero-day Chrome V8 en 2025 : la cadence

En 2025, la trame se répète : des failles mémoire dans V8 jalonnent l’année et s’alignent sur des campagnes déjà en marche. Ce rythme entretient un écart persistant entre exploitation et patch, surtout lorsque la vulnérabilité permet une exécution de code à distance.

Sur les marchés gris/noirs, un Chrome V8 zero-day fiable (RCE/contournement sandbox) se négocie souvent > 500 000 $.

Qui exploite un Chrome V8 zero-day comme CVE-2025-10585 ?

Trois sphères se croisent. Des équipes cybercriminelles monétisent l’accès aux sessions et comptes via publicité malveillante et sites compromis. Des groupes alignés sur des États emploient la faille avec parcimonie et précision pour franchir silencieusement les frontières techniques d’organisations ciblées. Entre les deux, des courtiers évaluent fiabilité et portée avant de chaîner les maillons d’un kit d’exploitation. L’attribution au TAG laisse penser que CVE-2025-10585 s’inscrit dans ce théâtre étatique.

Impact sur les utilisateurs : du clic ordinaire à la perte de souveraineté

Une seule page peut suffire à installer un code qui observe et détourne la vie d’un onglet. L’utilisateur ne voit rien ; le navigateur, lui, transporte cookies, tokens et extensions, autant d’éléments qui deviennent des leviers d’élévation et de persistance. Dans l’espace francophone, l’enjeu est systémique : services publics, messageries, consoles d’administration s’appuient sur le navigateur comme s’il était une zone de confiance. Un Chrome V8 zero-day rappelle qu’il ne l’est pas.

Que faire face à CVE-2025-10585 ? Repenser le navigateur comme un runtime hostile

Mettez à jour vers 140.0.7339.185/.186 (Windows/Mac) ou 140.0.7339.185 (Linux) via Aide → À propos de Google Chrome ; Android : 140.0.7339.155. Séparez les usages (profil/VM dédiée pour l’administratif et les opérations sensibles), réduisez la surface (désactivez WebAssembly si possible, limitez le JIT sur les tiers sensibles), gouvernez strictement les extensions (liste d’autorisation, audit, pas de sideloading) et alimentez votre veille avec les bulletins officiels.

En un trait : patcher vite, isoler ce qui compte, désencombrer le navigateur.

{
  "ExtensionInstallAllowlist": ["<IDs>"],
  "ExtensionInstallBlacklist": ["*"],
  "URLAllowlist": ["https://intra.example.tld/*"],
  "URLBlacklist": ["*"],
  "DefaultPopupsSetting": 2,
  "JavascriptAllowedForUrls": ["https://intra.example.tld/*"],
  "AutofillAddressEnabled": false,
  "PasswordManagerEnabled": false,
  "WebAssemblyEnabled": false
}

Pourquoi c’est lié au DOM — et à notre chronique Clickjacking

Exécution de code à distance via V8 (CVE-2025-10585) et le clickjacking d’extensions basé DOM mènent au même résultat : si des secrets passent par le DOM ou résident dans la mémoire du navigateur, ils deviennent accessibles. La première voie (RCE V8) prend le contrôle du processus ; la seconde (UI redressing/BITB) force l’injection de secrets dans un DOM piégé. Dans les deux cas, le DOM est la surface d’exfiltration.

• Surface commune : DOM & mémoire du navigateur (autofill, cookies, tokens, passkeys synchronisées, extensions).
• Voies d’attaque : moteur (RCE V8) ou interface (overlays, iframes, focus(), Shadow DOM).
• Mitigation convergente : isolation des usages, gouvernance des extensions, et Zero-DOM (secrets hors DOM/processus, RAM éphémère, consentement physique).

À relier avec… ⤵

Clickjacking des extensions DOM : DEF CON 33 révèle 11 gestionnaires vulnérables

Versions corrigées & timeline

Statistiques d’exposition

En août 2025, Chrome capte ~69 % de parts d’usage navigateur dans le monde. Concrètement : un Chrome V8 zero-day touche mécaniquement une part significative des internautes francophones — particuliers, administrations, entreprises. D’où l’importance de corriger vite et de compartimenter les usages sensibles.

Anatomie — V8 type confusion

Le curseur clignote. Derrière l’écran, le script a préparé la mémoire : tas groomés, objets mal étiquetés, garde-fous écartés. V8 prend une valeur pour ce qu’elle n’est pas ; la page devient un véhicule. Aucun message, aucun avertissement. L’exploit parle la langue du web ordinaire — événements, focus, rendu — et s’en sert pour atteindre l’exécution.

Après le franchissement — du conteneur au corridor

Une fois le code lancé, le navigateur cesse d’être une boîte et devient un couloir. Cookies et jetons deviennent des bagages ; les extensions, des portes latérales ; les sessions cloud, une enfilade de pièces ouvertes. L’attaquant n’a pas besoin d’un bélier, seulement d’un passage routinier.

Acteurs & incitations

D’un côté, des équipes cybercriminelles collectent des sessions revendues en lot. De l’autre, des groupes alignés sur des États visent avec précision, reliant des zero-days à des portails familiers. Entre les deux, des courtiers achètent des chaînes comme on achète de l’infrastructure : fiabilité, portée, discrétion.

Réécriture souveraine (Zero-DOM)

Il existe une version de cette histoire où l’onglet compromet le navigateur… sans rien trouver à voler.

Dans cette version, les secrets :

• ne touchent jamais le DOM,
• ne résident pas dans le processus navigateur,
• ne circulent jamais en clair.

Identifiants, OTP, passkeys et clés privées vivent dans du matériel hors-ligne. Ils n’apparaissent qu’en fantômes éphémères en RAM, déclenchés par une action physique de l’utilisateur.

Technologies souveraines

• PassCypher HSM PGP : chaque secret est lié à une URL attendue. Refus des écarts. Conteneurs chiffrés jusqu’à décision physique vérifiable.
• PassCypher NFC HSM : geste physique (tap NFC) avant toute injection. Le navigateur ne voit que le transport, jamais le contenu.
• SeedNFC HSM : cold wallet NFC HSM simplifié. Appairé à un smartphone Android NFC + émulateur HID-BLE, il injecte les clés publiques et privées de crypto-monnaies sans presse-papiers ni DOM.
• Émulateur de clavier Bluetooth HID-BLE — EviKeyboard BLE : signal BLE chiffré en AES-128-CBC. Appairé à l’application Freemindtronic (PassCypher, SeedNFC, DataShielder), il injecte les secrets en HID-BLE, hors DOM, hors clipboard. Les overlays et techniques de redressing deviennent inopérants.

Signaux faibles

À relier avec…

• Actualités techniques — Freemindtronic
• Digital Security — Articles
• PassCypher — Identifiants souverains
• Boutique — Matériels souverains

Ce que nous n’avons pas couvert

Cette chronique omet volontairement les PoC d’exploitation et les pas-à-pas de reproduction. Elle laisse de côté les bases sectorielles d’hardening et l’économie détaillée des marchés d’exploits. Objectif : exposer le risque systémique et montrer pourquoi une approche matérielle Zero-DOM change l’issue. Perspective — Concevez pour l’échec gracieux : supposez que le navigateur puisse tomber sans emporter votre identité. Ancrez les secrets dans le matériel, exigez un consentement physique, traitez chaque onglet comme provisoire.

FAQ CVE 2025-10585