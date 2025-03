Voici le résumé des vulnérabilités les plus critiques découvertes la semaine passée.

Le résumé de la semaine

La semaine écoulée a été marquée par la découverte de plusieurs vulnérabilités critiques affectant des logiciels largement utilisés.

Des chercheurs ont révélé 46 failles de sécurité dans des onduleurs solaires de fournisseurs majeurs tels que Sungrow, Growatt et SMA, pouvant permettre à des attaquants de prendre le contrôle des dispositifs et d’exécuter du code à distance, compromettant ainsi la stabilité des réseaux électriques.

Par ailleurs, une vulnérabilité d’exécution de code à distance (RCE) a été identifiée dans Splunk Enterprise et Splunk Cloud Platform, permettant à des utilisateurs à faible privilège d’exécuter du code arbitraire via le téléchargement de fichiers malveillants. Une autre faille critique a été détectée dans le contrôleur Ingress NGINX pour Kubernetes, exposant potentiellement plus de 6 500 clusters à des attaques RCE non authentifiées.

Les navigateurs web ont également été ciblés. Mozilla a publié des correctifs pour une vulnérabilité critique dans Firefox, similaire à une faille zero-day récemment corrigée dans Chrome, qui permettait une évasion de la sandbox. Google a, de son côté, corrigé une vulnérabilité zero-day dans Chrome, exploitée dans le cadre de campagnes d’espionnage ciblant des médias et des organisations gouvernementales russes.

Les outils de communication n’ont pas été épargnés. WhatsApp a corrigé une faille de sécurité majeure, exploitée par un logiciel espion pour installer des logiciels malveillants sur les appareils des utilisateurs sans aucune interaction de leur part. Cette vulnérabilité, de type zero-click, zero-day, a été utilisée pour cibler des journalistes et des activistes.

Des incidents liés à des erreurs humaines ont également été signalés. Cloudflare a attribué une panne de service généralisée à une erreur de rotation des identifiants, résultant de la mauvaise application de paramètres lors de la mise à jour des informations d’authentification. L’incident a entraîné des perturbations importantes des services R2, Cache Reserve, Images, Stream, Vectorize, Email Security, Billing, Key Transparency Auditor et Log Delivery.

Par ailleurs, Microsoft a signalé que son service de signature de confiance était exploité pour signer du code malveillant avec des certificats de courte durée. Des chercheurs ont également mis en évidence une vulnérabilité dans VMware Tools pour Windows, permettant un contournement de l’authentification. Concernant les outils de développement web, une faille critique a été révélée dans Next.js, permettant aux attaquants de contourner les contrôles d’autorisation.

Enfin, le National Institute of Standards and Technology (NIST) rencontre des difficultés croissantes pour traiter le nombre croissant de vulnérabilités et expositions communes (CVE) dans la base de données nationale des vulnérabilités (NVD). L’augmentation des soumissions de CVE et la réduction des financements ont exacerbé le problème, entraînant un retard important dans l’analyse des vulnérabilités.

Un développeur a, quant à lui, réussi à casser le chiffrement du ransomware Akira en utilisant des GPU cloud en quelques heures. Vivaldi à intégré Proton VPN directement dans le navigateur pour lutter contre le pistage en ligne.

Les vulnérabilités de la semaine

Broadcom a publié des correctifs de sécurité pour corriger une faille de sécurité très grave dans VMware Tools pour Windows, susceptible d’entraîner un contournement de l’authentification. Identifiée sous la référence CVE-2025-22230, cette vulnérabilité est classée 7,8 sur dix points selon le système CVSS (Common Vulnerability Scoring System). Lire la suite sur The Hacker News

(Re)découvrez la semaine passée: