Voici le résumé des vulnérabilités les plus critiques découvertes la semaine passée.
Le résumé de la semaine
La semaine passée a été marquée par plusieurs alertes concernant des vulnérabilités activement exploitées.
Google a révélé que 97 vulnérabilités zero-day ont été exploitées depuis le début de l’année 2024, dont plus de la moitié dans le cadre d’attaques liées à des logiciels espions. Ce volume inhabituellement élevé souligne une intensification des efforts de certains acteurs pour cibler des systèmes encore non patchés, souvent via des chaînes complexes de compromission. Ces attaques ont majoritairement visé des plateformes mobiles, avec une préférence marquée pour les systèmes Android, mais des campagnes ont aussi touché Windows et iOS.
Dans l’écosystème Apple, une série de failles critiques surnommées « AirBorne » a été découverte dans le protocole AirPlay et son SDK. Exploitables sans interaction de l’utilisateur, ces vulnérabilités permettent à un attaquant de prendre le contrôle d’un appareil via une attaque zero-click, ouvrant potentiellement la voie à une exécution de code à distance.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Du côté des infrastructures critiques, plus de 1 200 serveurs SAP NetWeaver accessibles depuis Internet présentent une vulnérabilité critique non authentifiée permettant l’upload de fichiers arbitraires. Cette faille, d’un niveau de sévérité maximum, est activement exploitée. Elle pourrait permettre à des attaquants de compromettre totalement les systèmes ciblés. SAP avait publié un correctif dès 2022, ce qui indique un problème persistant de non-application des correctifs dans certaines organisations, malgré les alertes répétées.
En Allemagne, la Gematik a dû réagir en urgence après que le Chaos Computer Club (CCC) a identifié une nouvelle vulnérabilité dans l’application de dossier patient électronique (ePA). À peine lancée, cette solution a déjà dû faire l’objet d’une « Sofortmaßnahme » pour corriger une faille qui aurait pu permettre à des utilisateurs non autorisés d’accéder à des données sensibles.
Enfin, Coinbase a corrigé une erreur dans ses journaux d’activité qui provoquait de fausses alertes de connexion, laissant croire à ses utilisateurs que leur compte avait été compromis.
Les vulnérabilités de la semaine
Coinbase corrige une erreur de journal 2FA qui fait croire aux utilisateurs qu’ils ont été piratés
Coinbase a corrigé un bug déroutant dans les journaux d’activité de son compte qui faisait penser aux utilisateurs que leurs informations d’identification étaient compromises. […]
Google : 97 zero-days exploités en 2024, dont plus de 50 % dans des attaques de logiciels espions
Le groupe de renseignement sur les menaces de Google (GTIG) indique que les attaquants ont exploité 75 vulnérabilités zero-day dans la nature l’année dernière, dont plus de 50 % étaient liées à des attaques de logiciels espions. […]
Dossier médical électronique : le CCC constate à nouveau des lacunes, Gematik réagit avec une « mesure immédiate »
Le lendemain du lancement de l’ePA, Gematik a dû signaler qu’elle avait comblé une autre faille de sécurité avec une « mesure immédiate ».
Les failles « AirBorne » d’Apple peuvent conduire à des attaques AirPlay RCE sans clic
Un ensemble de vulnérabilités de sécurité dans le protocole AirPlay d’Apple et le kit de développement logiciel (SDK) AirPlay a exposé des appareils tiers et Apple non corrigés à diverses attaques, notamment l’exécution de code à distance. […]
Plus de 1 200 serveurs SAP NetWeaver vulnérables à une faille activement exploitée
Plus de 1 200 instances SAP NetWeaver exposées à Internet sont vulnérables à une vulnérabilité de téléchargement de fichiers non authentifiés de gravité maximale activement exploitée qui permet aux attaquants de détourner des serveurs. […]
(Re)découvrez la semaine passée:
Les vulnérabilités à suivre (28 avr 2025)
Découvrez les principales vulnérabilités à suivre cette semaine du 28 avril 2025
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
