Les vulnérabilités à suivre – 15 déc 2025

Voici la revue hebdomadaire des vulnérabilités critiques signalées et des mesures proposées par les éditeurs pour y remédier.

L’actualité cybersécurité de la semaine met en lumière une chaîne continue d’incidents et de correctifs touchant aussi bien les véhicules connectés que les principaux éditeurs logiciels. Les voitures d’un constructeur de luxe sont paralysées en Russie à cause d’un système de sécurité embarqué défaillant, tandis que plusieurs géants technologiques publient des correctifs pour des failles déjà exploitées, notamment dans WebKit, les solutions de sécurité réseau ou encore les produits Microsoft. Les autorités américaines actualisent leur liste de vulnérabilités activement exploitées, pendant que des logiciels très répandus comme Notepad++ ou la plateforme Git Gogs voient leurs mécanismes de mise à jour ou d’hébergement de code détournés, et qu’un concours de hacking rémunère la découverte de nouvelles failles dans des composants open source majeurs.

Selon GBHackers, des centaines de propriétaires de Porsche à moteur thermique en Russie ont vu leurs véhicules, de la 911 au Cayenne, tomber en panne simultanément à partir du 28 novembre. La défaillance touche le système de sécurité et de suivi installé en usine, qui verrouille l’alarme, coupe la connexion satellite et bloque le démarrage du moteur, obligeant les conducteurs à faire remorquer leurs voitures vers des ateliers agréés. Les techniciens doivent alors démonter manuellement le module d’alarme pour réinitialiser le système, une opération longue qui ne corrige pas la cause centrale de l’incident et laisse ouverte la possibilité d’un nouveau blocage.

Apple a publié des mises à jour de sécurité pour iOS, iPadOS, macOS, tvOS, watchOS, visionOS et Safari afin de corriger deux failles WebKit déjà exploitées, d’après The Hacker News. Apple indique que ces failles auraient été exploitées dans des attaques extrêmement sophistiquées visant des individus spécifiques sur des versions d’iOS antérieures à iOS 26, portant à neuf le nombre de zero-days corrigés en 2025.

Comme le détaille The Hacker News, Fortinet corrige deux vulnérabilités critiques d’authentification dans FortiOS, FortiWeb, FortiProxy et FortiSwitchManager, référencées CVE-2025-59718 et CVE-2025-59719, chacune notée 9,8 au CVSS et liées à une mauvaise vérification de signature cryptographique permettant de contourner la connexion FortiCloud SSO via un message SAML forgé lorsque cette fonction est activée. Ivanti publie en parallèle des correctifs pour quatre failles dans Endpoint Manager, dont CVE-2025-10573 (CVSS 9,6), une vulnérabilité de type cross-site scripting stocké dans le cœur EPM et les consoles distantes.

SecurityWeek rapporte que le concours de hacking Zeroday.Cloud organisé à Londres par un acteur de la sécurité cloud a distribué 320 000 dollars de récompenses pour 11 exploits visant des technologies open source, sur une cagnotte totale de 4,5 millions de dollars dédiée aux vulnérabilités cloud et intelligence artificielle. Les participants pouvaient concourir dans six catégories, de l’intelligence artificielle aux bases de données. Le premier jour, 200 000 dollars ont été attribués, dont 40 000 dollars pour un exploit du noyau Linux et 30 000 dollars chacun pour cinq failles de bases de données (trois sur Redis, deux sur PostgreSQL). Le deuxième jour, 120 000 dollars supplémentaires ont récompensé quatre nouveaux exploits à 30 000 dollars chacun sur PostgreSQL, MariaDB et Redis, tandis que des tentatives d’exploitation de vLLM et Ollama n’ont pas abouti dans le temps imparti.

D’après Security Affairs, la CISA américaine ajoute deux références à son catalogue de vulnérabilités exploitées : CVE-2025-14174, un accès mémoire hors limites dans ANGLE affectant Google Chrome sur macOS avant la version 143.0.7499.110, et CVE-2018-4063, une exécution de code à distance dans le firmware Sierra Wireless AirLink ES450 4.9.3 via upload.cgi. Pour CVE-2025-14174, Google signale que l’exploit, suivi comme problème Chromium 466192044, est déjà utilisé en conditions réelles et lié à un calcul incorrect des tailles de buffer pouvant provoquer débordement mémoire et exécution de code. Conformément à la directive BOD 22-01, la CISA impose aux agences fédérales de corriger ces failles avant le 2 janvier 2026.

Le site Security Affairs indique que Notepad++ a corrigé dans sa version 8.8.8 une vulnérabilité de son outil de mise à jour GUP/WinGUP, qui permettait de détourner le trafic d’update en raison d’une authentification insuffisante des fichiers téléchargés. Un chercheur rapporte avoir observé des incidents dans trois organisations utilisant Notepad++, notamment dans les télécoms et la finance en Asie de l’Est, où les processus Notepad++ semblaient constituer le point d’accès initial à des attaques « hands on keyboard ». Le mécanisme impliquait le téléchargement d’un fichier depuis un site du projet, son écriture dans le répertoire %TEMP% puis son exécution, avec la possibilité pour un acteur interposant le trafic HTTP, puis HTTPS, de modifier le champ Location pour livrer un exécutable malveillant.

Selon SecurityWeek, Microsoft a publié en décembre 2025 des correctifs pour 57 vulnérabilités, dont trois zero-days, avec un seul exploit activement observé : CVE-2025-62221, une faille use-after-free dans le pilote Windows Cloud Files Mini Filter Driver notée 7,8 qui permet une élévation de privilèges jusqu’au niveau System. Une seconde vulnérabilité du même composant, CVE-2025-62454, également notée 7,8, est jugée susceptible d’être exploitée.

BleepingComputer signale qu’une vulnérabilité zero-day non corrigée dans Gogs, un service Git open source, léger et auto-hébergé, écrit en Go. Elle permet à des attaquants d’obtenir une exécution de code à distance sur des instances exposées et de compromettre potentiellement plus de 700 serveurs parmi 1 400 systèmes Gogs accessibles en ligne, d’après BleepingComputer.