Patch De Sécurité

Selon BleepingComputer, Apple a diffusé des mises à jour de sécurité afin de corriger une vulnérabilité zero‑day exploitée dans une attaque « extrêmement sophistiquée » visant des individus spécifiques. Apple a publié des mises à jour de sécurité corrigeant CVE-2026-20700, une vulnérabilité dans dyld. Un attaquant disposant d’une capacité d’écriture mémoire peut exécuter du code arbitraire sur l’appareil. Apple précise avoir connaissance d’un rapport indiquant que la faille aurait été exploitée contre des personnes spécifiquement visées (sur des versions d’iOS antérieures à iOS 26) ...

Selon BleepingComputer, Microsoft a corrigé une vulnérabilité d’« exécution de code à distance » affectant le Bloc-notes de Windows 11. La faille permettait à un attaquant d’exécuter des programmes locaux ou distants en incitant l’utilisateur à cliquer sur des liens Markdown spécialement conçus. L’exploitation se faisait sans afficher d’avertissements de sécurité Windows, augmentant le risque d’exécution involontaire de code. Microsoft a publié un correctif pour éliminer cette vulnérabilité au sein de Notepad (Bloc-notes) sur Windows 11. ...

Source: Help Net Security — Ivanti a publié des correctifs provisoires pour deux vulnérabilités critiques touchant Endpoint Manager Mobile (EPMM), dont l’une est activement exploitée et listée par la CISA. 🚨 Vulnérabilités: CVE-2026-1281 (activement exploitée, ajoutée au catalogue KEV de la CISA) et CVE-2026-1340. 🧩 Nature des failles: injection de code affectant les fonctionnalités In-House Application Distribution et Android File Transfer Configuration d’EPMM. 🎯 Impact potentiel: exécution de code à distance (RCE) par des attaquants non authentifiés sur des installations on‑premises d’EPMM vulnérables. 🛠️ Mesure d’éditeur: publication de correctifs temporaires (provisional patches) pour atténuer ces failles critiques. Type d’article: patch de sécurité — objectif principal: annoncer des correctifs temporaires et alerter sur une exploitation active d’une vulnérabilité critique. ...

Selon Help Net Security, Fortinet a commencé à diffuser des versions de FortiOS corrigeant CVE-2026-24858, une vulnérabilité critique exploitée permettant à des attaquants de se connecter aux pare-feux FortiGate via FortiCloud SSO. • Vulnérabilité et périmètre affecté. CVE-2026-24858 est un contournement d’authentification par chemin ou canal alternatif permettant à un titulaire d’un compte FortiCloud avec un appareil enregistré de se connecter à d’autres appareils rattachés à d’autres comptes, lorsque FortiCloud SSO est activé. Les produits concernés incluent FortiOS, FortiAnalyzer et FortiManager; la mise à jour du 29 janvier ajoute FortyProxy et FortiWeb. Fortinet précise que FortiManager Cloud, FortiAnalyzer Cloud, FortiGate Cloud ne sont pas impactés, et que les configurations SSO avec fournisseur d’identité tiers (SAML), y compris FortiAuthenticator, ne sont pas affectées. ...

Source: BleepingComputer — Microsoft diffuse des mises à jour de sécurité hors bande pour corriger une vulnérabilité zero‑day de haute gravité dans Microsoft Office, identifiée comme CVE‑2026‑21509 et déjà exploitée en attaques. ⚠️ Vulnérabilité: CVE‑2026‑21509 est un contournement de fonctionnalité de sécurité qui permet de bypasser les mitigations OLE protégeant contre des contrôles COM/OLE vulnérables. L’attaque est de faible complexité, requiert une interaction utilisateur (ouverture d’un fichier Office malveillant), et n’implique pas le volet de prévisualisation. Produits affectés: Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024, Microsoft 365 Apps for Enterprise. ...

Selon IT-Connect, Veeam a publié des correctifs en ce début janvier 2026 pour quatre vulnérabilités affectant Veeam Backup & Replication 13, issues d’audits internes. Trois d’entre elles permettent une exécution de code à distance (RCE). ⚠️ Détail des failles (CVE, impact, privilèges requis, sévérité, CVSS): CVE-2025-55125: RCE en tant que root via création d’un fichier de configuration de sauvegarde malveillant — Prérequis: Backup/Tape Operator — Élevée, 7.2 CVE-2025-59468: RCE en tant qu’utilisateur postgres via envoi d’un paramètre de mot de passe malveillant — Prérequis: Backup Administrator — Moyenne, 6.7 CVE-2025-59469: Écriture de fichiers arbitraires en tant que root — Prérequis: Backup/Tape Operator — Élevée, 7.2 CVE-2025-59470: RCE en tant qu’utilisateur postgres via des paramètres d’ordre ou d’intervalle malveillants — Prérequis: Backup/Tape Operator — Élevée, 9.0 (CVSS) Pour la CVE-2025-59470, malgré un score CVSS 9.0, Veeam abaisse la sévérité à Élevée car: 1) l’exploitation exige déjà le rôle Operator, conférant de forts privilèges; 2) l’application des bonnes pratiques de sécurité Veeam réduit la probabilité d’exploitation. ...

Selon Cyber Security News, Apple a publié le 12 décembre 2025 les mises à jour iOS 26.2 et iPadOS 26.2 pour corriger deux 0‑days WebKit activement exploités, ainsi que plus de 30 vulnérabilités supplémentaires touchant plusieurs composants. 🚨 0‑days WebKit activement exploités CVE-2025-43529 (WebKit): vulnérabilité de use-after-free permettant une exécution de code arbitraire via du contenu web malveillant; découverte par Google Threat Analysis Group (TAG). CVE-2025-14174 (WebKit): corruption mémoire; créditée à Apple et Google TAG. Les deux failles sont liées à des campagnes de spyware ciblées, ciblant des utilisateurs spécifiques d’iPhone sur des versions antérieures à iOS/iPadOS 26. Autres correctifs critiques 🛠️ ...

Selon KrebsOnSecurity, Microsoft clôture l’année avec le Patch Tuesday de décembre 2025, corrigeant 56 vulnérabilités et portant le total annuel à 1 129 failles (soit +11,9% vs 2024). Un zero‑day est activement exploité et deux vulnérabilités étaient déjà publiquement divulguées. • Zero‑day corrigé: CVE-2025-62221 — élévation de privilèges dans le composant Windows Cloud Files Mini Filter Driver (Windows 10 et ultérieur). Composant clé utilisé par des services comme OneDrive, Google Drive et iCloud, même sans ces apps installées, ce qui augmente la surface d’attaque. ...

Source: IT-Connect (article de Florian Burnel). Microsoft publie le Patch Tuesday de décembre 2025, dernier de l’année, avec 57 correctifs de sécurité, dont 3 vulnérabilités zero-day. Parmi elles, une est déjà activement exploitée. Le lot inclut 19 failles RCE, avec 3 critiques : Microsoft Office (CVE-2025-62554, CVE-2025-62557) et Microsoft Outlook (CVE-2025-62562). Les correctifs Edge ne sont pas comptabilisés. 🚨 Zero-day 1 — CVE-2025-62221 (Windows – Cloud Files Mini Filter): vulnérabilité de type use-after-free permettant une élévation de privilèges jusqu’à SYSTEM. Microsoft indique qu’elle est déjà exploitée. Versions affectées: Windows 10, Windows 11, Windows Server 2022, Windows Server 2025. ...

Selon Next INpact, Microsoft a corrigé en novembre (Patch Tuesday) CVE-2025-9491, un problème lié aux fichiers LNK que l’éditeur ne considérait pas comme une vulnérabilité, bien qu’il ait été activement exploité depuis 2017. 🧩 Nature de la vulnérabilité: les fichiers .LNK permettent jusqu’à 32 000 caractères dans le champ Target, mais l’interface Windows n’en affichait que 260 dans la boîte de dialogue Propriétés. Des attaquants pouvaient ainsi cacher des commandes malveillantes au-delà de cette limite, en usant d’espaces et d’obfuscation, rendant l’artefact trompeur lors d’une simple inspection visuelle. Le correctif modifie l’UI pour afficher l’intégralité de la commande Target, quelle que soit sa longueur. ...