Les vulnérabilités à suivre – 10 nov 2025

Voici la revue hebdomadaire des vulnérabilités critiques signalées et des mesures proposées par les éditeurs pour y remédier.

La cybersécurité a été marquée cette semaine par des mises à jour critiques et des découvertes de vulnérabilités dans des logiciels largement utilisés. Apple a publié une mise à jour de sécurité majeure, corrigeant plus de 100 vulnérabilités dans ses systèmes d’exploitation pour iPhone, Mac et iPad. Microsoft Teams a également été au centre de l’attention après que des chercheurs ont découvert des failles permettant aux attaquants de falsifier des identités et de modifier des conversations. Google a récompensé des chercheurs pour la découverte de failles critiques dans le moteur JavaScript de Chrome. Enfin, une nouvelle souche de ransomware, Midnight, a été identifiée avec des faiblesses qui pourraient permettre aux victimes de récupérer leurs fichiers sans payer de rançon. Ces événements soulignent l’importance des mises à jour régulières et de la vigilance face aux menaces émergentes.

Apple a récemment publié une mise à jour de sécurité majeure, corrigeant 105 vulnérabilités dans macOS 26.1 et 56 dans iOS 26.1 et iPadOS 26.1. Selon CyberScoop, ces mises à jour incluent des corrections pour des défauts dans WebKit, le moteur de navigateur open-source utilisé par Apple. Apple a également corrigé 21 défauts dans Safari 26.1 et 43 vulnérabilités dans visionOS 26.1. La Cybersecurity and Infrastructure Security Agency a ajouté huit défauts d’Apple à son catalogue de vulnérabilités exploitées cette année.

Des vulnérabilités critiques ont été découvertes dans Microsoft Teams, permettant aux attaquants d’usurper des identités et de modifier l’historique des discussions. Comme le rapporte HackRead, ces failles, identifiées par Check Point Research, ont permis la falsification de notifications et l’altération des noms affichés dans les discussions privées. Les correctifs ont été déployés après la divulgation de ces vulnérabilités en mars 2024, avec des mises à jour finales achevées en octobre 2025. Ces failles, suivies sous CVE-2024-38197, ont été corrigées automatiquement, sans action requise des utilisateurs. L’exploitation de ces vulnérabilités aurait pu entraîner des pertes financières importantes, illustrant les risques associés aux outils de collaboration en ligne.

Google a versé 100 000 $ en récompenses pour deux vulnérabilités critiques découvertes dans le moteur JavaScript V8 de Chrome. Selon SecurityWeek, ces failles, identifiées comme des problèmes de confusion de type et de mise en œuvre inappropriée, ont été corrigées dans Chrome 142. Les chercheurs Man Yue Mo et Aorui Zhang ont chacun reçu 50 000 $ pour leurs découvertes. En tout, Google a payé 130 000 $ pour les bugs corrigés dans cette version de Chrome, bien qu’aucune de ces vulnérabilités n’ait été signalée comme exploitée dans la nature.

Une nouvelle souche de ransomware, Midnight, a été identifiée avec des faiblesses cryptographiques permettant la récupération de fichiers. D’après GBHackers, Midnight utilise des techniques inspirées de Babuk, mais ses modifications cryptographiques ont introduit des failles permettant la décryption des fichiers dans certaines conditions. Ces faiblesses offrent une opportunité rare pour les victimes de récupérer leurs données sans payer de rançon.

Une faille critique affectant 400’000 sites WordPress a été découverte dans le plug-in Post SMTP. Selon DarkReading, cette vulnérabilité, suivie sous CVE-2025-11833, a un score CVSS de 9.8 et permet aux attaquants de prendre le contrôle total des sites en réinitialisant les mots de passe des administrateurs. Wordfence a bloqué plus de 4 500 attaques utilisant cette faille. La vulnérabilité réside dans l’absence de vérification des capacités dans la fonction __construct, permettant aux attaquants non authentifiés d’accéder aux e-mails enregistrés, y compris ceux de réinitialisation de mot de passe. Un correctif a été publié dans la version 3.6.1 du plug-in.

Google a corrigé une vulnérabilité critique d’exécution de code à distance dans Android. Comme le rapporte SecurityAffairs, cette faille, suivie sous CVE-2025-48593, affecte les versions 13 à 16 d’Android. Elle permet l’exécution de code à distance sans interaction de l’utilisateur. Une autre vulnérabilité permet une escalade locale de privilèges sur Android 16. Ces correctifs font partie de la mise à jour de sécurité de novembre 2025, qui est la seule publiée ce mois-ci. Google n’a signalé aucune exploitation active de ces vulnérabilités dans la nature.

Cisco a averti que deux vulnérabilités dans ses pare-feu ASA et FTD sont activement exploitées pour des attaques par déni de service. Selon BleepingComputer, ces failles permettent aux attaquants de forcer les pare-feu à redémarrer en boucle. Plus de 34 000 instances vulnérables ont été identifiées par Shadowserver. Cisco a publié des correctifs le 25 septembre, mais les attaques continuent, causant des conditions de déni de service.

QNAP a corrigé sept vulnérabilités zero-day dans ses appareils NAS, exploitées lors de la compétition Pwn2Own Ireland 2025. Comme le détaille BleepingComputer, ces failles affectent les systèmes d’exploitation QTS et QuTS hero, ainsi que plusieurs logiciels QNAP. Les correctifs sont disponibles dans les dernières versions des logiciels concernés. Les vulnérabilités ont été démontrées par plusieurs équipes lors de la compétition, soulignant l’importance de maintenir les systèmes à jour pour éviter les exploits. QNAP recommande de changer tous les mots de passe pour renforcer la sécurité.

Google a utilisé son agent d’intelligence artificielle Big Sleep pour découvrir cinq nouvelles vulnérabilités dans le composant WebKit de Safari. D’après The Hacker News, ces failles, si elles étaient exploitées, pourraient entraîner un crash du navigateur ou une corruption de mémoire. Les vulnérabilités ont été corrigées par Apple dans ses dernières mises à jour.