Cert-IST

Une faille de haute sévérité dans le noyau Linux permet à un attaquant d'écrire du code dans la mémoire d'autres fichiers et d'obtenir un shell root. Surnommée Copy Fail, ce problème semble affecter toutes les distributions Linux depuis 2017. tinyurl.com/6y4298s4

Une simple commande git push permet de compromettre un serveur GitHub grâce à l'exploitation d'une nouvelle faille de sécurité (CVE-2026-3854) découverte par une équipe de chercheurs. tinyurl.com/mvjhhevr

Un patch incomplet, supposé corriger un contournement des alertes de sécurité de Windows SmartScreen et Windows Shell, a créé un nouveau bug (CVE-2026-32202) permettant des attaques Zero-Click, selon Akamai. tinyurl.com/27duhz2f

Des attaques informatiques ont touché la classe politique allemande mais aussi les milieux diplomatiques, militaires et médiatiques. Une enquête été ouverte « dès février », a fait savoir le parquet. tinyurl.com/2tzzb2ka

Bitwarden CLI, développé par les auteurs du gestionnaire de mots de passe Bitwarden, a été la cible d'une cyberattaque. Les pirates sont parvenus à publier une version infectée destinée à voler des informations sensibles sur les machines des victimes. tinyurl.com/3f26394m

Apple vient de corriger un bug de l’iPhone (CVE-2026-28950). Cette défaillance permettait de retrouver des messages effacés en passant par le système de notifications. Le FBI s’est déjà servi de la vulnérabilité dans le cadre d’un procès. tinyurl.com/456462n2

Microsoft a publié des mises à jour hors bande pour corriger une vulnérabilité dans ASP.NET Core qui permet à un attaquant d'élever ses privilèges. La vulnérabilité, nommée CVE-2026-40372, possède un score CVSS de 9.1 sur 10.0. tinyurl.com/mwn7cekf

Des convertisseurs Série à IP sont affectés par des vulnérabilités potentiellement sévères qui peuvent exposer la technologie opérationnelle (OT), la santé et d'autres systèmes à des attaques à distance. tinyurl.com/57c8nnuf

La plateforme cloud Vercel vient de confirmer avoir été victime d'une cyberattaque. Cette intrusion fait suite à la compromission du compte Google Workspace d'un salarié de Vercel par l'intermédiaire d'un outil d'intelligence artificielle tiers. tinyurl.com/wyk3pwfy

Le chercheur en sécurité qui a publié en début de mois un proof-of-concept (PoC) pour l'exploitation d'une zero-day permettant l'élévation de privilèges dans Microsoft Defender est de retour avec deux PoC supplémentaires. tinyurl.com/32dfx4u2

Un chercheur en sécurité surnommé "Chaotic Eclipse" a rendu public un PoC exploitant une faille dans Microsoft Defender. Cette divulgation non coordonnée met en évidence un conflit croissant entre les chercheurs en sécurité indépendants et Microsoft. tinyurl.com/8paf74tp

Microsoft vient de corriger 167 failles de sécurité avec son patch d’avril 2026, dont deux zero-days. Une faille activement exploitée dans des cyberattaques a notamment été colmatée. tinyurl.com/yj6bnkrf

SAP a annoncé 20 publications et mises à jour de notes de sécurité dans son "Security Patch Day" d'Avril 2026. Parmi les vulnérabilités corrigées, CVE-2026-27681 (score CVSS de 9.9), un bug d'injection SQL pouvant mener à une exécution de code arbitraire. tinyurl.com/33wb2meu

Adobe a sorti en urgence des correctifs pour une zero-day critique dans Acrobat et Reader exploitée depuis plusieurs mois. La vulnérabilité est issue d'un contrôle insuffisant des attributs des prototypes, exploitable afin d'exécuter du code arbitraire. tinyurl.com/2uvj6pyf

Une erreur vient d’exposer 4,5 millions d’adresses e-mail appartenant à de grandes entreprises françaises et à des institutions du gouvernement. Laissée en accès libre sur Internet, une base de données a divulgué une montagne de données sensibles. tinyurl.com/3y7cahs6

Le système de détection EXPMON a identifié un fichier PDF malveillant qui exploite une vulnérabilité inédite dans Adobe Reader. Il permet de voler des données locales et préparer des infections plus lourdes sans intervention de l'utilisateur. tinyurl.com/3fnp25m2

La CVE-2026-34040, une vulnérabilité de haute sévérité (Score CVSS : 8.8), a été signalée dans Docker Engine. Elle peut permettre à un attaquant d'échapper au plugin d'autorisation (AuthZ) sous certaines circonstances. tinyurl.com/28hk3u3f

Une nouvelle alerte de sécurité affecte Fortinet, et plus particulièrement sa solution FortiClient EMS. Cette alerte concerne la CVE-2026-35616, une faille de sécurité déjà exploitée en tant que zero-day et qui est désormais patchée tinyurl.com/3z62t6n6

Le responsable du paquet npm Axios a confirmé que l'intrusion dans la chaîne d'approvisionnement résultait d'une campagne d'ingénierie sociale très ciblée orchestrée par des acteurs malveillants nord-coréens identifiés sous le nom d'UNC1069 tinyurl.com/3ntuvmrt

Apple vient de mettre à jour d’urgence 20 % des iPhone en circulation. Le géant californien cherche à protéger ses clients contre les pirates russes qui exploitent le kit de piratage DarkSword tinyurl.com/4frszfds