Les vulnérabilités à suivre – 22 sep 2025

Voici la revue hebdomadaire des vulnérabilités critiques signalées et des mesures proposées par les éditeurs pour y remédier.

L’actualité de la cybersécurité cette semaine met en lumière plusieurs vulnérabilités critiques et attaques ciblant des géants technologiques. Microsoft, OpenAI, SonicWall, et Apple ont tous été confrontés à des défis de sécurité majeurs, chacun impliquant des risques potentiels pour les utilisateurs et les infrastructures. Les incidents rapportés vont des failles dans les systèmes de gestion d’identité à des attaques sur des portails cloud, en passant par des vulnérabilités dans des appareils mobiles et des navigateurs web. Ces événements soulignent l’importance cruciale de la vigilance continue et de la réactivité face aux menaces émergentes dans le domaine de la cybersécurité.

Selon Ars Technica, deux vulnérabilités critiques ont été découvertes dans le système Entra ID de Microsoft, anciennement connu sous le nom d’Azure Active Directory. Ces failles auraient pu permettre une prise de contrôle totale des comptes clients Azure à l’échelle mondiale, sauf pour les infrastructures gouvernementales. Les vulnérabilités, découvertes par un chercheur en sécurité, auraient pu donner accès à des privilèges d’administrateur global, compromettant ainsi chaque répertoire Entra ID. Ce scénario aurait exposé presque tous les locataires Entra ID dans le monde. Le chercheur a présenté ses découvertes lors de la conférence Black Hat à Las Vegas, soulignant la gravité de la situation.

OpenAI a rapidement corrigé une vulnérabilité connue sous le nom de « ShadowLeak » dans son projet Deep Research, comme le détaille Malwarebytes. Cette faille permettait à des attaquants d’exploiter le système en envoyant simplement un email, entraînant des fuites d’informations sensibles de la boîte de réception de la cible. La vulnérabilité exploitait une faiblesse bien connue des agents d’IA, à savoir l’injection de prompt, en utilisant des astuces de mise en page pour dissimuler les commandes malveillantes. Malgré les protections existantes, les chercheurs ont réussi à contourner les défenses en encodant les informations personnelles identifiables avant de les transmettre.

SonicWall a confirmé une attaque sur sa plateforme MySonicWall.com, exposant les configurations de pare-feu de ses clients, selon CyberScoop. L’incident a touché moins de 5 % de la base installée de pare-feu, mais a révélé des faiblesses systémiques dans les produits et infrastructures de SonicWall. Les fichiers compromis contenaient des mots de passe cryptés et des informations pouvant faciliter l’exploitation des pare-feu. SonicWall a désactivé l’accès à la fonctionnalité de sauvegarde et a pris des mesures pour renforcer la sécurité de ses systèmes. L’entreprise a également notifié les forces de l’ordre et engagé une enquête avec une société de réponse aux incidents.

Une faille critique dans l’implémentation KSMBD du noyau Linux, connue sous le nom de « KSMBDrain », a été identifiée, permettant à des attaquants distants d’épuiser complètement les ressources de connexion du serveur. Comme le rapporte GBHackers, cette vulnérabilité, suivie sous le code CVE-2025-38501, permet une attaque par déni de service simple mais efficace. En exploitant cette faille, les acteurs malveillants peuvent rendre les services SMB indisponibles en consommant toutes les connexions disponibles. Ce type d’attaque met en lumière l’importance de surveiller et de corriger rapidement les vulnérabilités dans les systèmes critiques.

Apple a publié des mises à jour de sécurité critiques pour les anciens modèles d’iPhone et d’iPad, corrigeant une vulnérabilité 0-day qui a été activement exploitée dans des attaques ciblées sophistiquées. Selon GBHackers, les mises à jour iOS 16.7.12 et iPadOS 16.7.12, diffusées le 15 septembre 2025, traitent une faille de sécurité sérieuse affectant les appareils Apple hérités. Cette vulnérabilité, suivie sous le code CVE-2025-43300, a été confirmée comme étant exploitée activement, soulignant la nécessité pour les utilisateurs de maintenir leurs appareils à jour.

Google a publié une mise à jour de sécurité urgente pour les utilisateurs du navigateur Chrome, corrigeant quatre vulnérabilités critiques, dont une exploitée activement. Comme le rapporte GBHackers, cette mise à jour vise à protéger les utilisateurs contre d’éventuelles attaques. La vulnérabilité 0-day la plus préoccupante a été découverte et est actuellement exploitée dans la nature, ce qui a poussé Google à exhorter tous les utilisateurs à mettre à jour leurs navigateurs immédiatement pour éviter les risques potentiels.

Une vulnérabilité critique dans l’utilitaire de capture d’écran Greenshot pour Windows a été découverte, permettant aux attaquants locaux d’exécuter du code malveillant arbitraire. Selon GBHackers, cette faille, suivie sous le code CVE-2025-59050, affectait les versions de Greenshot jusqu’à 1.3.300. La vulnérabilité a été corrigée dans la version 1.3.301, publiée le 16 septembre 2025. Cette faille permettait l’exécution de code dans le processus d’application de confiance, représentant un risque significatif pour les utilisateurs.

WatchGuard a publié un avis détaillant une vulnérabilité critique dans sa ligne d’appliances de sécurité réseau Firebox, comme le rapporte GBHackers. La faille, suivie sous le code CVE-2025-9242, réside dans le composant iked du système d’exploitation Fireware. Un dépassement de mémoire dans la routine de gestion IKEv2 permet à un attaquant distant non authentifié d’exécuter du code arbitraire sur les appareils affectés. Cette vulnérabilité critique met en lumière la nécessité de corriger rapidement les failles de sécurité dans les appareils de sécurité réseau.

Microsoft a rappelé que le support étendu pour Office 2016 et Office 2019 prendra fin le 14 octobre 2025, selon BleepingComputer. Les organisations utilisant les applications associées sont invitées à mettre à niveau pour éviter des problèmes de sécurité, de conformité et de performance. Office 2016 avait déjà atteint la fin du support principal en octobre 2020, tandis qu’Office 2019 l’avait atteint en octobre 2023.

Google a publié des mises à jour de sécurité d’urgence pour corriger une vulnérabilité 0-day dans Chrome, la sixième exploitée cette année, selon BleepingComputer. Bien que Google n’ait pas précisé si cette faille est encore activement exploitée, la présence d’un exploit public indique une exploitation active. La vulnérabilité, suivie sous le code CVE-2025-10585, met en évidence la nécessité de maintenir les navigateurs à jour pour se protéger contre les attaques potentielles.