Vulnérabilité

Selon un article publié par TechCrunch, Jack Dorsey a reconnu que sa nouvelle application de messagerie a été lancée sans avoir été soumise à des tests de sécurité ou à une revue de sécurité. Cette admission soulève des préoccupations quant à la vulnérabilité potentielle de l’application face aux cyberattaques. L’absence de tests de sécurité avant le lancement d’une application, surtout dans le domaine de la messagerie, peut exposer les utilisateurs à des risques de sécurité importants, tels que le vol de données personnelles ou l’accès non autorisé à des communications privées. ...

McHire est la plateforme de recrutement automatisée utilisée par plus de 90 % des franchises McDonald’s. Propulsée par un chatbot nommé Olivia, développé par la société Paradox.ai, elle collecte les données personnelles des candidats, leurs disponibilités et les fait passer par un test de personnalité. En enquêtant sur les dysfonctionnements rapportés sur Reddit, les chercheurs Ian Carroll et Sam Curry ont identifié deux failles majeures : l’interface d’administration acceptait les identifiants par défaut 123456:123456, et une API interne vulnérable à une faille IDOR permettait d’accéder aux données de tous les candidats. ...

Selon krebsonsecurity, Microsoft a publié des mises à jour corrigeant 137 vulnérabilités de sécurité dans ses systèmes d’exploitation Windows et logiciels pris en charge. Bien qu’aucune de ces failles ne soit actuellement exploitée activement, 14 d’entre elles sont classées comme critiques, pouvant permettre la prise de contrôle de PC vulnérables. Une vulnérabilité notable est CVE-2025-49719, une faille de divulgation d’informations dans SQL Server, affectant les versions depuis 2016. Bien que considérée comme moins susceptible d’être exploitée, la présence de code de preuve de concept en fait une priorité pour les entreprises concernées. Mike Walters d’Action1 souligne que cette faille peut être exploitée sans authentification, posant un risque potentiel pour la chaîne d’approvisionnement. ...

Microsoft a annoncé via son blog Talos Intelligence la publication de sa mise à jour de sécurité mensuelle pour juillet 2025. Cette mise à jour corrige 132 vulnérabilités dans une gamme de produits Microsoft. Parmi celles-ci, 14 vulnérabilités ont été classées comme “critiques” par Microsoft, soulignant leur potentiel impact élevé sur la sécurité des systèmes concernés. Les produits affectés par ces vulnérabilités incluent diverses solutions logicielles de Microsoft. Cette mise à jour est importante pour les utilisateurs et administrateurs système afin de protéger leurs infrastructures contre d’éventuelles exploitations de ces failles. ...

Bleeping Computer rapporte une nouvelle technique de tapjacking qui exploite les animations de l’interface utilisateur d’Android pour contourner le système de permissions et accéder à des données sensibles ou inciter les utilisateurs à effectuer des actions destructrices, telles que l’effacement de l’appareil. Cette vulnérabilité repose sur l’exploitation des animations qui masquent les demandes de permission, trompant ainsi l’utilisateur en lui faisant croire qu’il interagit avec une autre application ou fonctionnalité. Cela peut conduire à des actions non désirées sans que l’utilisateur en soit conscient. ...

L’actualité provient de BleepingComputer et concerne une vulnérabilité critique dans Citrix NetScaler, identifiée comme CVE-2025-5777 et surnommée CitrixBleed2. Les chercheurs ont publié des exploits proof-of-concept (PoC) pour cette faille, soulignant sa facilité d’exploitation. Cette vulnérabilité permettrait à un attaquant de voler des jetons de session utilisateur, compromettant potentiellement la sécurité des systèmes affectés. La publication de ces PoC alerte sur la nécessité d’une vigilance accrue et d’une mise à jour rapide des systèmes concernés pour éviter des compromissions. ...

Une analyse récente a mis en lumière des vulnérabilités critiques dans les systèmes d’infotainment des véhicules KIA, suscitant l’inquiétude au sein de la communauté de la cybersécurité automobile. Les chercheurs en sécurité ont découvert que le firmware de l’infotainment de KIA ne validait pas correctement certains formats de fichiers image, notamment les fichiers PNG. Cette faiblesse permet aux attaquants d’intégrer des charges utiles exécutables dans les images, déclenchant une exécution de code à distance lorsque ces images sont traitées par le système. ...

Selon un analyse de Malwarebytes rapportée par The Register, des escrocs exploitent une technique appelée empoisonnement des résultats de recherche pour tromper les utilisateurs cherchant du support pour des services en ligne tels que Apple, Bank of America, Facebook, HP, Microsoft, Netflix, et PayPal. Cette attaque consiste à manipuler les algorithmes des moteurs de recherche pour promouvoir des sites malveillants qui se font passer pour des sites légitimes. Les escrocs paient pour des annonces sponsorisées sur Google et créent une URL malveillante qui intègre un faux numéro de téléphone dans la fonctionnalité de recherche légitime du site réel. ...

L’article publié par watchTowr Labs met en lumière une nouvelle vulnérabilité critique affectant les dispositifs Citrix NetScaler, identifiée comme CitrixBleed 2 (CVE-2025-5777). Cette vulnérabilité permet une fuite de mémoire due à une validation insuffisante des entrées, particulièrement lorsque le NetScaler est configuré comme Gateway ou AAA virtual server. La vulnérabilité est similaire à une précédente faille, CitrixBleed (CVE-2023-4966), qui avait permis la divulgation de mémoire et le détournement de sessions d’accès à distance. Malgré l’exploitation active de cette nouvelle faille, de nombreux utilisateurs n’ont pas encore appliqué les correctifs nécessaires. ...

Cet article de blog met en lumière une vulnérabilité sur les machines Lenovo liée à un fichier MFGSTAT.zip situé dans le dossier Windows, qui est accessible en écriture par tout utilisateur authentifié. La découverte a été faite à l’aide d’un script accesschk, révélant que ce fichier pouvait être exploité pour contourner les règles AppLocker par défaut. Un utilisateur standard peut ajouter le contenu d’un fichier binaire dans un flux de données alternatif et l’exécuter, ce qui constitue un bypass potentiel de sécurité. ...