Les vulnérabilités à suivre (21 avr 2025)

Voici le résumé des vulnérabilités les plus critiques découvertes la semaine passée.

Le résumé de la semaine

La semaine passée a été marquée par une série de vulnérabilités critiques touchant des géants du numérique, mais aussi par l’émergence de nouvelles fonctionnalités de sécurité destinées à renforcer la protection des utilisateurs.

Du côté des systèmes Android, Google introduit une fonction baptisée « Auto Restart » qui redémarre automatiquement les appareils restés verrouillés pendant trois jours consécutifs. Une fois redémarré, le terminal exige l’authentification complète (code PIN, mot de passe ou biométrie) pour accéder aux données. Cette mesure vise à limiter l’exposition aux risques en cas de vol ou de perte de l’appareil. Le redémarrage place l’appareil dans un état « Before First Unlock », empêchant toute lecture des fichiers chiffrés. Ce mécanisme, déjà adopté par Apple avec son propre dispositif de redémarrage d’inactivité, illustre une tendance croissante à intégrer des défenses passives directement au niveau des systèmes d’exploitation.

Sur le front des vulnérabilités, Microsoft enregistre un triste record en 2024 avec plus de 1 360 failles documentées dans son écosystème. Cette hausse souligne la surface d’attaque croissante des environnements Microsoft, et l’intensité des efforts nécessaires pour en assurer la sécurisation continue. Cette explosion du nombre de vulnérabilités confirme également une pression soutenue sur les équipes de réponse aux incidents et les administrateurs système.

Apple, de son côté, a publié des mises à jour d’urgence pour corriger deux failles activement exploitées dans iOS, iPadOS et macOS. La première, liée au traitement de flux audio via CoreAudio (CVE-2025-31200), permettait l’exécution de code via un fichier média piégé. La seconde, dans le composant RPAC (CVE-2025-31201), offrait une possibilité de contournement de l’authentification par pointeur. Apple confirme que ces vulnérabilités ont été utilisées dans des attaques ciblées sophistiquées, vraisemblablement menées par des acteurs étatiques ou des fournisseurs de surveillance commerciale.

Dans un contexte similaire de menaces avancées, WhatsApp a corrigé une faille de type spoofing (CVE-2025-30401) affectant sa version Windows. L’exploitation reposait sur la manipulation du type MIME d’un fichier joint, trompant l’utilisateur pour qu’il exécute du code malveillant. Cette correction s’ajoute à une série d’attaques attribuées à la société israélienne Paragon, dont le logiciel espion « Graphite » a ciblé des journalistes et des membres de la société civile via des vulnérabilités zéro-clic.

Parmi les autres alertes de la semaine, Cisco a corrigé une vulnérabilité critique dans Webex permettant l’exécution de code à distance via un simple lien d’invitation malveillant. Cette faille, exploitable sans authentification préalable, renforce les préoccupations sur la sécurité des outils collaboratifs massivement utilisés.

ASUS a également alerté ses utilisateurs sur une faille critique de contournement d’authentification dans ses routeurs AiCloud. Si elle est exploitée, cette vulnérabilité pourrait permettre à un attaquant distant d’exécuter des fonctions sensibles sans aucune authentification.

Fortinet a publié une mise à jour de sécurité pour corriger une faille dans FortiSwitch (CVE-2024-48887), notée 9.3 sur 10, permettant à un attaquant non authentifié de modifier les mots de passe administrateurs via l’interface graphique. Ce type de vulnérabilité présente un risque élevé pour les infrastructures critiques s’appuyant sur ces équipements.

Enfin, une faille sérieuse a été identifiée dans le plugin WordPress SureTriggers, affectant potentiellement plus de 100 000 sites. Le bug permettait la création de comptes administrateurs sans authentification si le plugin n’était pas correctement configuré. Ce défaut dans la validation des clés API pourrait conduire à des compromissions complètes des sites concernés.

Les vulnérabilités de la semaine

Les téléphones Android redémarreront bientôt s’ils sont verrouillés pendant quelques jours

Android lance une nouvelle fonctionnalité de sécurité qui forcera les appareils à redémarrer automatiquement si vous ne les avez pas déverrouillés depuis un certain temps, rendant ainsi plus difficile l’accès aux données. Cette fonctionnalité est incluse dans…

Lire la suite sur The Verge – Cybersecurities

Les vulnérabilités de Microsoft atteignent un niveau record avec plus de 1 300 signalées en 2024

La 12e édition du rapport sur les vulnérabilités de Microsoft a révélé une augmentation significative du nombre de vulnérabilités détectées au sein de l’écosystème Microsoft, établissant un nouveau record avec 1 360 vulnérabilités signalées en 2024. Cette escalade marque le nombre le plus élevé depuis…

Lire la suite sur GBHackers On Security

Google présente la fonctionnalité « Redémarrage automatique » pour renforcer la sécurité des appareils Android

Google, géant mondial de la recherche et filiale d’Alphabet Inc., déploie une nouvelle fonctionnalité de sécurité appelée « Redémarrage automatique » pour renforcer la protection des données sur les appareils Android. Cette fonctionnalité est conçue pour empêcher tout accès non autorisé aux informations sensibles…

Lire la suite sur Cybersecurity Insiders

Apple a publié des mises à jour d’urgence pour les failles activement exploitées

Apple a publié des mises à jour d’urgence pour corriger des vulnérabilités d’iOS, iPadOS et macOS activement exploitées lors d’attaques sophistiquées. Apple a publié des mises à jour de sécurité hors bande pour corriger deux vulnérabilités, identifiées comme CVE-2025-31200 et CVE-2025-31201, affectant…

Lire la suite sur Security Affairs

Un bug de Cisco Webex permet aux pirates d’exécuter du code via des liens de réunion

Cisco a publié des mises à jour de sécurité pour une vulnérabilité Webex de haute gravité qui permet aux attaquants non authentifiés d’exécuter du code à distance côté client à l’aide de liens d’invitation à des réunions malveillants. […]

Lire la suite sur Latest news and stories from BleepingComputer.com

ASUS met en garde contre une faille critique de contournement d’authentification dans les routeurs utilisant AiCloud

ASUS met en garde contre une vulnérabilité de contournement d’authentification dans les routeurs avec AiCloud activé qui pourrait permettre à des attaquants distants d’exécuter des fonctions non autorisées sur l’appareil. […]

Lire la suite sur Latest news and stories from BleepingComputer.com

WhatsApp a corrigé une faille d’usurpation d’identité qui pouvait permettre l’exécution de code à distance

WhatsApp a corrigé une faille, identifiée comme CVE-2025-30401, qui pouvait permettre à des attaquants de tromper les utilisateurs et d’exécuter du code à distance. WhatsApp a publié une mise à jour de sécurité pour corriger une vulnérabilité, identifiée comme CVE-2025-30401.

Lire la suite sur Security Affairs

Fortinet recommande vivement la mise à niveau de FortiSwitch pour corriger une faille critique liée au changement de mot de passe administrateur.

Fortinet a publié des mises à jour de sécurité pour corriger une faille de sécurité critique affectant FortiSwitch et susceptible de permettre à un attaquant de modifier les mots de passe sans autorisation. Cette vulnérabilité, identifiée comme CVE-2024-48887, a un score CVSS de 9,3 sur un maximum de…

Lire la suite sur The Hacker News

100 000 sites WordPress vulnérables à une vulnérabilité de création malveillante

Une vulnérabilité critique affectant plus de 100 000 sites Web WordPress a été découverte dans le plugin WordPress SureTriggers, permettant potentiellement aux attaquants de créer des comptes d’administrateur non autorisés. La faille, identifiée comme CVE-2025-3102 avec un score CVSS de 8,1 (élevé), affecte toutes les versions du…

Lire la suite sur Cyber Security News

(Re)découvrez la semaine passée:

Les vulnérabilités à suivre (14 avr 2025)

Découvrez les principales vulnérabilités à suivre cette semaine du 14 avril 2025

Lire la suite sur dcod.ch