Faits marquants de la semaine
- Microsoft publie un Patch Tuesday record avec près de 200 correctifs, dont plusieurs dizaines jugés critiques et au moins trois failles déjà exploitées, notamment sur IIS et BitLocker, sur fond de tensions avec un chercheur prolifique.
- Une vulnérabilité du noyau Linux permet à un utilisateur local non privilégié d’obtenir les droits administrateur et de s’échapper d’un conteneur, un exploit détaillé étant désormais public.
- Une campagne ShinyHunters exploite une faille critique de type exécution de code à distance dans Oracle PeopleSoft, non authentifiée, pour compromettre plus de 100 organisations, majoritairement des universités américaines, via des endpoints Environment Management Hub exposés.
- Microsoft introduit un délai automatique de deux heures avant la mise à jour des extensions Visual Studio Code, afin de réduire l’impact potentiel d’une extension malveillante ou compromise sur la chaîne d’approvisionnement logicielle.
Les publications de la semaine illustrent une accélération simultanée de la découverte et de l’industrialisation des vulnérabilités critiques, avec des correctifs massifs côté éditeurs, des exploits publics pour des composants centraux (noyau Linux, BitLocker, Oracle PeopleSoft) et des ajustements défensifs ciblant spécifiquement le risque de compromission de la chaîne d’approvisionnement applicative.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
La sélection des 15 actualités à retenir cette semaine
Un Patch Tuesday record pour juin 2026
Microsoft a publié aujourd'hui des mises à jour logicielles pour corriger près de 200 failles de sécurité dans ses systèmes d'exploitation Windows et les logiciels associés, un nombre record de correctifs pour son cycle mensuel de mises… Lire la suite
Une faille d'un seul caractère dans le noyau Linux permet un accès root local ; les exploits sont désormais publics.
Des chercheurs en sécurité ont publié une description détaillée et fonctionnelle d'une faille de type « use-after-free » dans le noyau Linux. Cette faille permet à un utilisateur local non privilégié d'obtenir les privilèges root et de s'échapper d'un… Lire la suite
Une faille d'exécution de code à distance (RCE) d'Oracle PeopleSoft exploitée comme vulnérabilité zero-day dans une campagne ShinyHunters en cours
ShinyHunters a exploité une faille zero-day critique d'Oracle PeopleSoft pour compromettre plus de 100 organisations, principalement des universités, avant même la publication d'un correctif. Le 11 juin, soit un jour après la publication du correctif par Oracle,… Lire la suite
VS Code ajoute un délai de mise à jour automatique de 2 heures pour limiter les attaques sur la chaîne d'approvisionnement.
Microsoft a annoncé que Visual Studio Code (VS Code) appliquera un délai de deux heures avant la mise à jour automatique des extensions de l'environnement de développement intégré (IDE) vers une version plus récente, afin de contrer… Lire la suite
Google corrige une nouvelle faille zero-day de Chrome exploitée en conditions réelles.
Google a publié des mises à jour d'urgence pour corriger une autre vulnérabilité zero-day de Chrome qui a été exploitée en conditions réelles ; il s'agit de la cinquième faille de ce type corrigée depuis le début de… Lire la suite
Une nouvelle vulnérabilité de Veeam expose les serveurs de sauvegarde aux attaques RCE.
Veeam a publié des mises à jour de sécurité pour corriger une faille de sécurité critique dans Backup u0026 Replication, qui pouvait être exploitée pour obtenir l'exécution de code à distance (RCE) sur des serveurs de sauvegarde… Lire la suite
Le Patch Tuesday de juin 2026 de Microsoft corrige 198 vulnérabilités, dont 3 failles zero-day.
Le Patch Tuesday de juin 2026 de Microsoft corrige 198 vulnérabilités dans Windows, Office, Azure et d'autres produits Microsoft, dont trois failles zero-day exploitées ou divulguées publiquement avant la disponibilité des correctifs. Les équipes de sécurité doivent… Lire la suite
Microsoft corrige une faille zero-day exploitée par Exchange Server lors d'attaques
Microsoft a corrigé une vulnérabilité activement exploitée sur Exchange Server qui permettait aux acteurs malveillants d'exécuter du code JavaScript arbitraire lors d'attaques de type cross-site scripting (XSS) ciblant les utilisateurs d'Outlook Web Access. […] Lire la suite
Chaotic Eclipse frappe à nouveau : une nouvelle faille zero-day déverrouille BitLocker en quatre heures de recherche
GreatXML contourne BitLocker via les artefacts d'analyse hors ligne de Defender, permettant d'obtenir un accès shell au système en mode de récupération. Aucun correctif n'est disponible. Toute machine ayant effectué une analyse hors ligne est vulnérable. Le… Lire la suite
Nightmare-Eclipse dévoile une nouvelle faille de sécurité Microsoft, RoguePlanet
Le chercheur mécontent a publié une nouvelle preuve de concept pour une faille de Windows Defender permettant la prise de contrôle du système, ne montrant aucun signe d'abandon de sa querelle persistante avec Microsoft. Lire la suite
La CISA ordonne aux autorités fédérales de corriger d'ici dimanche la faille Ivanti activement exploitée.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ordonné aux agences gouvernementales de corriger une faille activement exploitée dans Ivanti Sentry dans un délai de trois jours, conformément à la nouvelle directive opérationnelle contraignante… Lire la suite
La CISA donne trois jours aux autorités fédérales pour corriger la faille de sécurité du VPN Check Point exploitée comme une vulnérabilité zero-day.
La CISA a ordonné aux agences gouvernementales américaines de sécuriser leurs déploiements de VPN d'accès à distance et d'accès mobile Check Point contre une vulnérabilité critique exploitée lors d'attaques zero-day par des affiliés du ransomware Qilin. […] Lire la suite
OpenSSL corrige une vulnérabilité critique découverte grâce à l'IA
Au total, 18 vulnérabilités ont été corrigées dans les dernières versions d'OpenSSL, dont plusieurs potentiellement découvertes grâce à l'IA. Cet article « OpenSSL corrige une vulnérabilité critique découverte grâce à l'IA » a été initialement publié sur… Lire la suite
Fortinet a corrigé une nouvelle faille critique dans FortiSandbox
Fortinet a corrigé une vulnérabilité critique de FortiSandbox qui permettait à des attaquants non authentifiés d'exécuter des commandes à distance via des requêtes HTTP spécialement conçues. Fortinet a publié des mises à jour de sécurité pour corriger… Lire la suite
Une faille critique dans Splunk Enterprise permet aux attaquants d'exécuter du code sans authentification.
Splunk a publié des mises à jour de sécurité pour corriger une faille critique dans Splunk Enterprise. Cette faille pourrait permettre d'effectuer des opérations sur des fichiers sans authentification, voire d'exécuter du code à distance. Cette vulnérabilité,… Lire la suite
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
