0rphn3  -  APT Update / l'Aperçu de la Presse Tech

 -  17 mars - 

Bonjour à tous, cette semaine on liste les principales vulnérabilités en cours !

L'agenda

Depuis le 15 mars et jusqu'au samedi 22 mars, les villes de Mourenx et Orthez (Pyrénées-Atlantiques) accueillent la semaine De(s)Connexions. Entrée libre et gratuite, réservation conseillée pour les spectacles et ateliers, programme et renseignements pratiques disponibles ici.

En ligne

Le 20 mars de 11h à 17h, le webjournal DarkReading organise Cybersecurity's Most Promising New and Emerging Technologies, une série de tables rondes en ligne. Gratuit sur inscription.

Opinion(s)

Tristan Nitot fait un peu de sémantique, et nous explique pourquoi il préfère l'autonomie stratégique à la souveraineté.

Justement, le Comptoir Open-Source énumère les raisons pour lesquelles les logiciels FOSS devraient devenir la norme dans l'éducation, et le développement de l'autonomie numérique n'y est pas pour rien.

Pannes et bugs

Google

Suite à un problème de certificat expiré, Google a publié en urgence un avertissement aux utilisateurs de Chromecast modèle H2A2 et H2B2, et Chromecast Audio modèle N0A6 : ne pas réinitialiser aux paramètres d'usine, sous peine de générer des problèmes d'authentification. Une résolution du problème est en cours.
La dernière mise à jour des téléphones Android Pixel 9 a causé chez certains utilisateurs l'arrêt du fonctionnement du scanner d'empreintes. Une solution provisoire consiste à éteindre le téléphone quelques secondes avant de le redémarrer.
De nombreux utilisateurs de Messages, l'appli d'échanges de messages SMS, MMS et RCS de Google, rencontrent des problèmes divers : chargement ralenti ou impossible, images floues, arrêt inopiné de l'appli… Google a publié un message à l'endroit des utilisateurs, demandant de faire remonter les détails à propos des incidents rencontrés.

Windows

Suite à la mise à jour optionnelle KB5050092 sur Windows 10 et 11, les utilisateurs d'imprimantes USB sont confrontés à un bug qui fait imprimer du texte aléatoire. Microsoft a identifié l'origine du problème, et promet une résolution complète dans une prochaine mise à jour.

X (ex-Twitter)

Après une attaque massive par déni de service distribué lundi dernier sur son réseau X, Elon Musk a donné une interview sur FoxNews pour accuser l'Ukraine d'être derrière l'attaque. Il s'est avéré ensuite que les vrais auteurs en étaient un groupe hacktiviste pro-palestinien du nom de Dark Storm Team, mais ce qui est réellement mis en lumière par cette affaire, c'est l'affaiblissement de la cybersécurité sur ce réseau après la réduction drastique des effectifs organisée par Musk. En effet, plusieurs des serveurs tombés lors de l'attaque n'étaient simplement pas protégés.

Failles de sécurité

Apple

• Une faille de sécurité critique a été à nouveau corrigée dans Webkit sur divers produits Apple (CVE-2025-24201), après qu'une attaque sophistiquée est venue à bout du premier correctif.
• MacOS est également touché par une vulnérabilité au déréférencement de pointeur NULL qui pourrait permettre une exécution de code arbitraire en mode noyau.

Microsoft

• Le CISA a averti de la présence d'une faille de sécurité critique dans le pilote du système de fichiers Fast FAT. Cette faille requiert une présence physique et ne s'exploite pas à distance, mais permet d'exécuter du code malveillant. (CVE-2025-24985)
• Une vulnérabilité a été découverte dans le kernel, liée à la gestion de l'allocation de mémoire. Il s'agit d'un cas dit de "use-after-free", d'une gravité de 7.0/10, et qui permet à l'attaquant qui remporterait une condition de course d’élever ses privilèges en tant que SYSTEM (CVE-2025-24983). Elle serait exploitée activement depuis 2023.
• MMC (Microsoft Management console)présente une faille de sécurité activement exploitée. Il s'agit d'une faille de nettoyage incorrect (CWE-707) qui permet d'entrer du code arbitraire sans vérification a posteriori. (CVE-2025-26633)
• Le système de fichiers NTFS est frappé par un débordement de la mémoire-tampon basé sur le tas, qui peut être exploité pour exécuter du code localement (CVE-2025-24993).
• Open Source Experience
• L'outil de débogage WinDbg présente une vulnérabilité due à une vérification incorrecte des signatures cryptographiques, et qui permet les RCE CVE-2025-24043.
• Le système de connexion à distance RDP est vulnérable aux RCE. L'exploitation (CVE-2025-24035 et CVE-2025-24045) requiert dans les deux cas que l'attaquant remporte une condition de course.

En conclusion, n'oubliez pas de faire les mises à jour publiées mardi ! Elles contiennent 57 correctifs, et couvrent 6 zero-day.

Du côté des codeurs

• Le package Axios pour Node.js pose des risques significatifs à cause d'une vulnérabilité aux SSRF (CVE-2025-27152).
• Les versions les moins récentes de PHP 8.1, 8.2 et 8.3 sont vulnérables aux RCE à cause d'une possibilité d'injection (CVE-2024-4577).
• Picklescan, un outil dont la fonction est de faire passer un scan de sécurité aux fichiers de la librairie Python Pickle (utilisée pour le sérialisation) est responsable de quatre vulnérabilités (CVE-2025-1716, CVE-2025-1889, CVE-2025-1944 et CVE-2025-1945)
• Deux vulnérabilités dans la librairie ruby-saml, utilisée (notamment dans Gitlab) pour mettre en place un single sign-on sécurisé, permettent de contourner les mécanismes d'authentification (CVE-2025-25291 et CVE-2025-25292).

Failles des solutions de sécurité

• Bitdefender Box est affecté par deux vulnérabilités critiques sur sa v1. Il s'agit d'un risque de RCE et de MitM (CVE-2024-13871 et CVE-2024-13872).
• Une faille critique d'une gravité de 9.9/10 a été découverte dans Kibana. Il s'agit d'une possibilité d'exécuter du code arbitraire par pollution de prototype. Seules les instances hébergées sur Elastic Cloud sont concernées. Un correctif est disponible, à appliquer rapidement (CVE-2025-25015).
• La solution de reprise après sinistre de Veritas Arctera InfoScalesouffre d'une désérialisation insécure de données potentiellement non fiables, qui peut être exploité pour exécuter du code malveillant. Cette faille critique a été estimée à 9.8/10 (CVE-2025-27816).
• Le logiciel SolarWinds Web Help Desk présente une faiblesse cryptographique qui peut mener au déchiffrement des bases de données par des attaquants. Cette faille a a été corrigée dans la version 12.8.5 (CVE-2024-28989).

Vulnérabilités d'applis web et de libs

• Meta avertit de l'exploitation d'une faille de sécurité dans la librairie FreeType. Celle-ci pourrait causer une exécution de code arbitraire. Les versions après 2.13.0 ne sont pas concernées (CVE-2025-27363).
• Dans ses versions de 11.9.0 à11.35.1, le framework Laravel comporte une vulnérabilité XSS lorsqu'il est utilisé en conditions de développement, ce qui peut mener à l'exécution de code JavaScript malveillant (CVE-2024-13918).
• De nombreuses vulnérabilités ont été relevées sur les serveurs Apache cette semaine : des possibilités de RCE sur Tomcat et sur

le composant Camel, des identifiants mal protégés sur le système de traitement de données NiFi, un système d'authentification contournable surApache Pinot et diverses failles touchant Apache Traffic Server.

Faille dans la chaîne d'approvisionnement du système hospitalier britannique

L'entreprise Medefer est un fournisseur régulier du NHS (National Health System). Une de leurs API mal configurées laissait depuis au moins 6 ans la possibilité d'obtenir des données médicales sensibles sans autorisation particulière. L'enquête est en cours, mais les premiers résultats laissent entendre qu'il est peu probable que cette faille ait été exploitée.

Hygiène numérique

A l'occasion du Digital Cleanup Day qui a eu lieu cette semaine, Kingston, vendeur de solutions de stockage, propose quelques recommandations pour une gestion plus durable des données et une cybersécurité renforcée.

Les exigences de Google concernant la compatibilité des extensions à Manifest V3 pour rester disponibles dans Chrome ont pour conséquence de rendre indisponibles la plupart des adblockers, et notamment Ublock Origin, au profit d'une pâle copie bien moins efficace. C'est ballot…
Heureusement, il existe quelques contournements qui permettront, au moins pour un temps, de garder votre adblocker préféré. Pour rappel, il s'agit d'une protection efficace contre le malvertising.

Le débat contradictoire de la semaine : l'IA dans la cybersécurité

INE, un organisme de formation et de certification en cybersécurité, a lancé une initiative pour aider les organisations à repenser leur approche de la cybersécurité et la formation continue de leur équipe en fonction de l'IA. Il s'agit de tirer parti des avantages de l'IA en cyberdéfense sans se reposer excessivement sur l'automatisation dans un contexte où les cybermenaces seraient de plus en plus boostées à l'IA.

Or au même moment, la sortie du red report 2025 apporte un reality-check à la hype autour de l'usage de l'IA dans les attaques : aucune preuve n'a été apportée de nouveaux malwares à base d'IA en 2024, et si les attaquants utilisent l'IA pour automatiser et les tâches (comme c'est le cas en cyberdéfense), ils ne s'en sont pas servis pour révolutionner leurs tactiques. Au contraire, le top de leurs techniques sont restées d'origine humaine. Comme côté défense, l'IA est donc plus un gain d'efficacité qu'un game-changer.
Quant aux risques de failles de sécurité liés à des IA vulnérables, c'est à surveiller, mais reste marginal tandis que l'écrasante majorité des points d'entrée est encore d'une nature conventionnelle, comme un serveur non patché.

C'est tout pour cette semaine. Un grand bravo à celles et ceux qui sont parvenus jusqu'ici, la semaine des failles de sécurité, c'est toujours un peu aride. Même moi JPP :D
La semaine prochaine, on se penchera sur les cybermenaces les plus intéressantes du moment. D'ici là, prenez soin de vous...

par aht