International

🗓️ Contexte Publié le 23 juin 2026 par SecurityWeek (auteur : Ionut Arghire), cet article rapporte la divulgation par JFrog d’une vulnérabilité critique dans FFmpeg, le framework de traitement multimédia le plus utilisé au monde, présent dans la quasi-totalité des applications de traitement vidéo. 🔍 Détails techniques de la vulnérabilité CVE : CVE-2026-8461 (CVSS 8.8) Nom : PixelSmash Type : Heap out-of-bounds write Composant affecté : bibliothèque libavcodec de FFmpeg, dans le décodeur MagicYUV Cause : inconsistance entre le calcul des hauteurs de plan chroma par l’allocateur de frames et le décodeur Mécanisme d’exploitation : placement d’une commande shell NUL-terminée à un offset hors-limites spécifique, ciblant la structure AVBuffer (objet de gestion de buffer à comptage de références), permettant l’exécution shell avant le crash du processus FFmpeg 🎯 Vecteurs d’exploitation Desktop : ouverture d’un fichier malveillant dans un lecteur vidéo, ou navigation dans un dossier contenant le fichier si le gestionnaire de fichiers génère des miniatures Serveur : upload d’un fichier média vers un serveur média, plateforme de chat ou service de transcodage cloud qui traite automatiquement le fichier NAS / appliances / smart TV : génération de miniatures ou aperçus vidéo Torrents (zero-click) : si le client torrent télécharge directement dans un dossier surveillé par une bibliothèque média, le scan automatique déclenche le payload Nextcloud : via le fournisseur optionnel Movie preview qui invoque le binaire FFmpeg système pour générer des miniatures 📦 Format du payload Fichier de 50 Ko au format AVI, MKV ou MOV Aucune authentification, privilège ou accès préalable requis ✅ Applications confirmées comme vulnérables Kodi, mpv, ffmpegthumbnailer (GNOME, KDE, XFCE) Jellyfin, Emby, Nextcloud, Immich, PhotoPrism, OBS Studio RCE démontré contre Jellyfin 🛠️ Correctif FFmpeg version 8.1.2 contient le correctif pour PixelSmash. ...

📰 Source : BleepingComputer, publié le 24 juin 2026, basé sur une analyse technique de Zscaler. 🎯 Contexte général Des chercheurs de Zscaler ont documenté une campagne d’attaque sophistiquée utilisant une extension malveillante pour Microsoft Edge, baptisée Edgecution, attribuée à un initial access broker (IAB) lié à l’opération ransomware Payouts Kings. 🔓 Vecteur d’accès initial L’attaque débute par une ingénierie sociale via Microsoft Teams : l’attaquant se fait passer pour du personnel IT et dirige les victimes vers une fausse page “Outlook Updates Management Console” imitant Microsoft. Cette page propose des boutons de téléchargement qui : ...

🔍 Contexte Publié le 23 juin 2026 par Zscaler ThreatLabz, cet article présente une analyse technique approfondie d’une campagne d’attaque attribuée à un initial access broker (IAB) affilié au groupe ransomware Payouts King. 🎯 Mécanisme d’attaque La campagne repose sur deux vecteurs combinés : Ingénierie sociale pour l’accès initial Un mécanisme innovant de livraison de malware via une extension malveillante pour Microsoft Edge L’extension abuse du protocole Chrome native messaging pour interagir avec des applications natives de l’hôte, contournant ainsi le sandbox du navigateur. ...

🔍 Contexte Publié le 24 juin 2026 par Mandiant (Google Cloud Blog), ce rapport technique détaille une campagne d’intrusion ciblant l’infrastructure SD-WAN d’un fournisseur de services, identifiée en début d’année 2026. L’analyse couvre une activité s’étendant de fin 2025 à mars 2026. 🎯 Accès initial — Connexions de peering non autorisées De fin 2025 à janvier 2026, Mandiant a observé de multiples connexions de peering non autorisées vers les équipements Cisco Catalyst SD-WAN Manager de la victime. Ces connexions pourraient être liées à l’exploitation de CVE-2026-20127 ou CVE-2026-20182, deux vulnérabilités critiques permettant à un attaquant distant non authentifié de contourner l’authentification et d’obtenir des privilèges administratifs. ...

🔍 Contexte Publié le 23 juin 2026 par SentinelLABS (Phil Stokes), cet article présente l’analyse technique d’un implant macOS baptisé macOS.Gaslight, découvert après une mise à jour XProtect d’Apple début juin 2026. L’échantillon avait été soumis sur VirusTotal le 22 mai 2026 et restait non détecté par les moteurs statiques au moment de la publication. 🎯 Attribution et cluster SentinelLABS attribue avec haute confiance cet implant à un cluster d’activité macOS aligné DPRK (Corée du Nord). Apple détecte l’échantillon sous la règle XProtect MACOS_BONZAI_COBUCH, famille associée par SentinelLABS à l’activité nord-coréenne. Un échantillon BONZAI frère est également détecté par la règle AIRPIPE, également liée à la Corée du Nord. ...

📅 Source : Microsoft On the Issues (blogs.microsoft.com), publié le 24 juin 2026, par Steven Masada, Assistant General Counsel de la Digital Crimes Unit (DCU) de Microsoft. 🎯 Contexte de l’opération Microsoft annonce une action judiciaire coordonnée visant simultanément deux outils cybercriminels largement utilisés : Amadey (loader/botnet facilitant l’accès initial) et StealC (stealer de mots de passe et données sensibles). Ces deux malwares, développés par des cybercriminels distincts, partagent la même infrastructure. En deux semaines début mai 2026, ils ont été liés à plus de 140 000 ordinateurs infectés dans le monde. ...

🌐 Contexte Le 24 juin 2026, Europol publie un communiqué officiel annonçant une nouvelle phase de l’Operation Endgame, la plus grande opération internationale jamais menée contre les facilitateurs de ransomware. L’opération a impliqué des forces de l’ordre de Canada, Danemark, Allemagne, Pays-Bas, Royaume-Uni et États-Unis, coordonnées par Europol et Eurojust, avec la participation de partenaires privés dont Microsoft, Shadowserver, Proofpoint, IBM X-Force, Bitdefender et d’autres. 🎯 Actions menées Sur une période de deux semaines, les actions coordonnées ont permis : ...

🌐 Contexte Source : BleepingComputer, publié le 24 juin 2026. Cet article couvre la dernière phase de l’Opération Endgame, une opération coordonnée de forces de l’ordre et de partenaires privés ciblant des infrastructures cybercriminelles liées aux malwares Amadey et StealC, ainsi qu’au loader SocGholish (FakeUpdates). 🎯 Périmètre de l’opération L’opération a impliqué des autorités de plusieurs pays : Canada, Danemark, Allemagne, Pays-Bas, Royaume-Uni, États-Unis Coordination par Europol et Eurojust Partenaires privés : Microsoft, ESET, Proofpoint, IBM X-Force, Bitsight, Infoblox, Orange Cyberdefense, Shadowserver, Have I Been Pwned, Spamhaus. ...

🗓️ Contexte Source : TechCrunch, publié le 25 juin 2026. Polymarket, plateforme de marchés prédictifs permettant des paiements en cryptomonnaies, a confirmé une compromission ayant entraîné le vol de fonds d’utilisateurs. 🔍 Déroulement de l’incident Selon un post publié par Polymarket sur X, un fournisseur tiers a été compromis, permettant à des attaquants d’injecter du code malveillant sur le site web de la plateforme, ciblant certains utilisateurs. La société indique avoir contenu l’incident et procède au remboursement intégral des victimes identifiées. ...

📰 Source : TechCrunch — 24 juin 2026 Le chercheur en sécurité Scott Helme a lancé le site whynopasskeys.com, dont l’objectif est de nommer publiquement les entreprises qui ne proposent pas encore les passkeys comme option d’authentification à leurs utilisateurs. 🔐 Contexte technique : Les passkeys sont désormais considérées comme le standard de sécurité de référence pour la protection des comptes. Elles sont générées par l’appareil de l’utilisateur, liées à ce terminal et au site concerné, et peuvent s’appuyer sur la biométrie (Face ID, Touch ID) ou une clé de sécurité physique. Elles sont stockables dans un gestionnaire de mots de passe et résistent au phishing et au vol de credentials. ...