Monde

Source : GMO Flatt Security Research – flatt.tech (publication du 3 octobre 2025). Contexte : un chercheur (RyotaK) détaille CVE-2025-59489, une vulnérabilité du Unity Runtime affectant les jeux/apps Unity (2017.1 et +), signalée à Unity qui a publié des correctifs (2019.1 et +) et un outil de patch binaire. • La vulnérabilité repose sur la gestion des intents Android par Unity : l’extra « unity » est interprété comme des arguments de ligne de commande pour l’application. Un argument spécifique, -xrsdk-pre-init-library, est transmis à dlopen(), permettant de charger une bibliothèque native arbitraire et d’exécuter du code dans le contexte de l’app Unity, avec ses permissions. • Impact : exécution de code arbitraire et détournement de permissions des apps Unity. Unity a publié un avis officiel et des mises à jour (2019.1 et +) ainsi qu’un Unity Binary Patch tool pour atténuer le risque. Avis Unity : https://unity.com/security/sept-2025-01 ...

Selon Legit Security, des chercheurs ont découvert une vulnérabilité critique (CVSS 9.6) affectant GitHub Copilot Chat, permettant l’exfiltration silencieuse de secrets et de code source depuis des dépôts privés, tout en manipulant les réponses/suggestions de Copilot. • Contexte et impact: La faille combinait un contournement de la Content Security Policy (CSP) via l’infrastructure Camo proxy de GitHub et des prompt injections distantes insérées dans des commentaires invisibles de descriptions de pull requests. Exploitée, elle permettait d’accéder à des dépôts privés avec les permissions de la victime et de voler des informations sensibles (dont des vulnérabilités zero-day et des clés AWS), et de contrôler les réponses/suggestions de Copilot. ...

Sur le blog de Talos Intelligence, un article propose un guide rapide destiné aux “référents cybersécurité” pour leurs amis et familles, afin de répondre à la question : « J’ai cliqué sur un lien suspect — et maintenant ? » 🛡️ Que faire en cas de clic sur un lien suspect Lorsqu’une personne clique sur un lien suspect, il est important de garder son calme et d’agir avec méthode pour limiter les risques. ...

Selon une étude académique sur des négociations de ransomware, la hausse des paiements ne s’explique pas par des attaques plus innovantes mais par la dynamique des négociations et la sélection des victimes. L’étude met en évidence une hausse spectaculaire des paiements moyens (près de +20 000% depuis 2018) et propose un modèle de négociation en six étapes: intention de l’attaquant, engagement de la victime, offre de remise, magnitude de la remise, décision de paiement, et ré-extorsion. Les auteurs exploitent deux jeux de données: 481 incidents déclarés à la police (2019–2023) et 237 transcriptions de négociations issues de 23 groupes de ransomware. ...

Selon Wiz Research, une vulnérabilité critique de type exécution de code à distance (RCE) baptisée RediShell (CVE-2025-49844) touche Redis, avec un score CVSS de 10.0 (vu à 9.9 selon certaines sources) et un correctif publié par Redis le 3 octobre 2025. 🚨 Principaux faits: Vulnérabilité: Use-After-Free (UAF) menant à une évasion du bac à sable Lua et à l’exécution de code natif sur l’hôte. Produits concernés: Redis (toutes les versions), vulnérabilité présente depuis ~13 ans dans le code source. Conditions d’exploitation: post-auth via envoi d’un script Lua malveillant (Lua activé par défaut). Risque critique si l’instance est exposée Internet sans authentification. Impact: Accès complet à l’hôte avec possibilités d’exfiltration, effacement ou chiffrement de données, détournement de ressources et mouvements latéraux dans les environnements cloud. Prévalence: Redis est présent dans ~75% des environnements cloud; il s’agirait de la première vulnérabilité Redis notée critique. Exposition et risque: ...

Source : Mend.io — Dans un guide détaillé, le média présente une analyse technique et opérationnelle des principaux risques de sécurité liés aux grands modèles de langage (LLM) et propose des contre-mesures concrètes de bout en bout. Le contenu couvre les vulnérabilités majeures inspirées de l’« OWASP Top 10 » pour LLM, dont injection de prompt, gestion de sortie non sécurisée, empoisonnement des données d’entraînement et déni de service du modèle. Il met aussi en avant des risques émergents liés à l’IA agentique, aux modèles open source et aux déploiements sensibles géopolitiquement, avec une approche cycle de vie intégrale, de la collecte de données jusqu’aux opérations post-déploiement. ...

Source: Wiz (blog) — Wiz Research annonce l’open source de HoneyBee, un outil qui automatise la création de conteneurs et Docker Compose intentionnellement vulnérables pour reproduire des configurations cloud courantes et mal sécurisées. HoneyBee génère des Dockerfiles et manifests Docker Compose pour des applications cloud populaires (bases de données, services de stockage, web apps) en reproduisant des mauvaises configurations typiques comme l’authentification sans mot de passe et des paramètres trop permissifs. Les honeypots ainsi déployés sont isolés mais réalistes et conçus pour être observables 🐝. ...

En mai 2025, l’ingénieur sécurité RyotaK de GMO Flatt Security a découvert une vulnérabilité critique (CVE-2025-59489) dans le moteur Unity affectant tous les jeux et applications produits depuis la version 2017.1[web:135][web:137][web:139]. Cette faille permet à une application malveillante sur le même appareil d’exploiter la gestion des intents sous Android pour injecter des arguments dans Unity Runtime. Un attaquant peut ainsi charger une bibliothèque partagée (.so) arbitraire et exécuter du code malveillant avec les droits de l’application Unity, impactant potentiellement l’intégrité et la confidentialité des données utilisateur. ...

Selon Socket (blog Socket.dev), des ex-mainteneurs historiques de l’infrastructure Ruby, dont André Arko et Martin Emde, ont lancé The Gem Cooperative (gem.coop), un miroir communautaire de RubyGems.org, après des tensions de gouvernance avec Ruby Central. Le contexte: Ruby Central a consolidé l’accès aux dépôts centraux et imposé des contrôles de sécurité renforcés — contrôle d’accès à privilèges minimaux, MFA et journalisation d’audit — retirant des accès privilégiés à des mainteneurs de longue date. Ruby Central affirme que ces changements s’alignent sur les bonnes pratiques de sécurité de la chaîne d’approvisionnement et qu’elle prépare des accords d’opérateur, mais la transition jugée abrupte a entamé la confiance d’une partie de la communauté. ...

Source: manchicken (GitHub) — Le chercheur publie une divulgation responsable d’une vulnérabilité signalée à 1Password en octobre 2023 et autorisée à la publication via BugCrowd en janvier 2024, portant sur le comportement de 1Password CLI (op). • Nature de la vulnérabilité: une fois le coffre déverrouillé via 1Password CLI, la session reste active et est héritée par les processus enfants, sans nouvelle invite. Ce comportement permet à des composants de la chaîne d’outillage (ex. extensions ou scripts post‑installation) d’accéder aux secrets sans interaction supplémentaire. Le chercheur montre que les mots de passe sont récupérables en clair et que l’outil peut énumérer les coffres et les éléments. ...