Clevo, un fabricant de matériel informatique, a involontairement exposé des clés privées dans ses packages de mise à jour de firmware UEFI. Ces clés sont cruciales pour Intel Boot Guard, une fonction de sécurité qui protège le processus de démarrage précoce. Boot Guard vérifie le bloc de démarrage initial, garantissant que seul le firmware de confiance s'exécute avant l'initialisation UEFI. Les clés divulguées pourraient être exploitées par des attaquants pour signer un firmware malveillant, contournant ainsi la protection de Boot Guard. Cela permet à l'attaquant de compromettre les systèmes UEFI, obtenant un contrôle persistant. Le firmware de Clevo est utilisé par d'autres fabricants, élargissant l'impact potentiel au-delà des systèmes Clevo. Un attaquant ayant accès au stockage flash pourrait utiliser les clés pour installer un firmware malveillant. Cette faille de sécurité pourrait conduire à un contrôle furtif des appareils affectés. Clevo a supprimé le logiciel affecté, mais les étapes de remédiation publiques restent indéfinies. Les utilisateurs devraient évaluer leur exposition, surveiller les modifications et n'appliquer que des mises à jour de firmware vérifiées. Le problème a été signalé par l'équipe de recherche Binarly, avec ce document rédigé par Vijay Sarvepalli.

Le portail captif Kiwire, une solution Wi-Fi invité de SynchroWeb, présente trois vulnérabilités critiques. Celles-ci incluent une injection SQL dans le paramètre nas-id, permettant le compromis de la base de données. Une vulnérabilité de redirection ouverte existe dans le paramètre login-url, permettant la redirection vers des sites malveillants. De plus, une vulnérabilité de script inter-sites (XSS) réfléchie est présente dans le paramètre login-url, autorisant l'exécution de JavaScript. La vulnérabilité d'injection SQL, CVE-2025-11188, permet aux attaquants d'exfiltrer des données sensibles de la base de données. La CVE-2025-11190, la redirection ouverte, peut attirer les utilisateurs vers des sites Web contrôlés par des attaquants. La CVE-2025-11189, la vulnérabilité XSS, permet l'exécution de JavaScript sur les appareils tentant de se connecter. Le fournisseur a corrigé les trois vulnérabilités. Il est fortement conseillé aux utilisateurs des versions affectées du portail captif Kiwire de mettre à jour vers la dernière version. Un avis de sécurité est disponible sur le site Web de SynchroWeb. SynchroWeb contactera également les utilisateurs concernés pour les aider à appliquer les correctifs.

Une vulnérabilité critique d'exécution de code à distance, CVE-2025-10547, a été identifiée dans les routeurs Vigor de Draytek. Cette faille existe dans le script de l'interface d'administration web LAN. Une variable non initialisée dans ce script permet aux attaquants d'envoyer des requêtes HTTP spécialement conçues. Ces requêtes peuvent provoquer une corruption de mémoire sur le routeur. Potentiellement, cette corruption de mémoire peut entraîner une exécution de code arbitraire. Si EasyVPN est activé, la vulnérabilité est exploitable à distance via l'interface VPN. Un attaquant peut ainsi obtenir un contrôle total du routeur affecté. Cela pourrait permettre l'installation de portes dérobées, la reconfiguration des paramètres réseau ou le blocage du trafic. De plus, les attaquants pourraient pivoter pour un mouvement latéral au sein du réseau. Draytek a publié des correctifs pour remédier à cette vulnérabilité. Il est fortement recommandé aux utilisateurs de mettre à jour leurs routeurs Vigor vers la dernière version du firmware dès que possible.

Une compromission significative de la chaîne d'approvisionnement npm, surnommée Shai-Hulud, a été révélée en septembre 2025. Plus de 500 packages npm ont été affectés par ce malware auto-propagateur. L'attaque utilise le vol d'identifiants et la publication automatisée de packages pour se propager. Elle exploite des vulnérabilités connues telles que les scripts postinstall et les compromissions de plateformes CI/CD. Le malware a probablement commencé par exécuter un fichier malicious bundle.js via un script postinstall après l'installation du package. Ce script a ensuite scanné et collecté des secrets à l'aide d'outils comme TruffleHog. Les identifiants volés ont été utilisés pour publier le malware dans d'autres dépôts, transformant les systèmes compromis en nouveaux vecteurs d'infection. GitHub Actions a été particulièrement abusé pour la trojanisation automatisée, une tactique déjà observée auparavant. L'impact inclut plus de 500 packages compromis et la compromission potentielle du compte npm de CrowdStrike. GitHub et la CISA ont publié des avis concernant cet incident. Pour l'atténuation, les utilisateurs npm devraient auditer et remplacer les packages compromis, verrouiller les dépendances à l'aide de package-lock.json, et envisager des miroirs internes. La désactivation des scripts postinstall lorsque cela est possible est également conseillée. Les développeurs devraient faire pivoter les identifiants exposés et appliquer les principes du moindre privilège dans les environnements CI/CD.

Une vulnérabilité de type cross-site scripting existe dans les anciennes versions de Lectora Desktop et Lectora Online. Plus précisément, les versions 21.0 à 21.3 de Lectora Desktop et les versions 7.1.6 et antérieures de Lectora Online sont affectées. Cette vulnérabilité se produit dans les cours publiés avec l'option Seamless Play Publish activée et l'accessibilité Web désactivée. L'exploitation de cette faille permet l'injection de JavaScript via des paramètres d'URL manipulés. Une telle attaque pourrait entraîner le détournement de session ou la redirection de l'utilisateur. La vulnérabilité a été corrigée dans la version 21.4 de Lectora Desktop, sortie le 25 octobre 2022. Lectora Online a également reçu un correctif, la version 7.1.7, déployée le 20 juillet 2025. Il est crucial que les utilisateurs republient leurs cours existants pour appliquer ces correctifs. Cette instruction a été omise par erreur dans les notes de version de Desktop. Le CERT Coordination Center sensibilise le public en raison des utilisateurs de haut niveau du logiciel Lectora.

LangChainGo, une implémentation en Go du framework LLM LangChain, présente une vulnérabilité critique de lecture de fichiers arbitraires. Cette vulnérabilité, identifiée comme CVE-2025-9556, découle de son utilisation du moteur de templates Gonja, qui prend en charge la syntaxe Jinja2. Les attaquants peuvent l'exploiter en injectant du contenu malveillant dans les prompts, déclenchant ainsi une injection de template côté serveur. La capacité du moteur Gonja à inclure des fichiers externes via des directives telles que {% include %} permet aux attaquants de lire des fichiers sensibles. Cela pourrait exposer des données telles que /etc/password, compromettant la confidentialité du système. Dans les applications de chatbot construites avec LangChainGo, les attaquants n'ont besoin que d'un accès aux prompts pour exploiter cette faille. La vulnérabilité permet un accès non autorisé à des informations sensibles stockées sur le serveur de la victime. Cette exposition peut faciliter une compromission ultérieure du système. Heureusement, le mainteneur de LangChainGo a publié une mise à jour corrigeant ce problème. La nouvelle version inclut une fonction RenderTemplateFS sécurisée qui bloque l'accès au système de fichiers par défaut. Il est fortement recommandé aux utilisateurs de mettre à jour vers la dernière version pour atténuer ce risque de sécurité.

Deux vulnérabilités de sécurité locales ont été découvertes dans Sunshine pour Windows, affectant la version v2025.122.141614 et potentiellement les versions antérieures. Ces vulnérabilités pourraient permettre à des attaquants d'exécuter du code arbitraire et d'obtenir des privilèges élevés sur les systèmes compromis. Sunshine est un hôte de streaming de jeux auto-hébergé pour Moonlight. La première vulnérabilité, CVE-2025-10198, est un problème de chemin de service non cité. Cela permet à un attaquant local de placer un exécutable malveillant dans un répertoire du chemin du service. Lorsque le service démarre, il exécuterait le code malveillant avec des privilèges élevés. La deuxième vulnérabilité, CVE-2025-10199, est un défaut de détournement de l'ordre de recherche DLL. Cela signifie qu'un attaquant peut placer une DLL malveillante dans un répertoire accessible en écriture par l'utilisateur dans la variable d'environnement PATH. L'application pourrait alors charger cette DLL malveillante, conduisant à l'exécution de code arbitraire. CVE-2025-10198 permet une élévation de privilèges vers SYSTEM, permettant une compromission complète de la machine. CVE-2025-10199 permet l'exécution de code malveillant dans le contexte de l'utilisateur. Les utilisateurs doivent appliquer une mise à jour du projet Sunshine lorsqu'elle sera disponible. D'ici là, les utilisateurs peuvent atténuer ces problèmes en s'assurant qu'aucun répertoire accessible en écriture par l'utilisateur ne se trouve dans le PATH. Ils doivent également citer tous les chemins de service dans les configurations de service Windows. Enfin, la restriction des permissions sur les répertoires liés aux services peut empêcher le placement de fichiers non autorisés.

Le point d'accès Bluetooth Amp’ed RF BT-AP 111 présente une faille de sécurité critique. Son interface d'administration est accessible via HTTP sans aucune authentification. Cette vulnérabilité permet à des attaquants distants non authentifiés d'obtenir un contrôle administratif complet. Le BT-AP 111 agit comme un pont Bluetooth-Ethernet et un point d'accès. Il prend en charge UPnP et jusqu'à sept connexions Bluetooth. L'interface web ne dispose d'aucun mécanisme de connexion, ce qui permet à toute personne sur le réseau de visualiser et de modifier les paramètres. Les attaquants peuvent modifier les configurations Bluetooth et réseau, y compris les paramètres de sécurité. Cette absence d'authentification viole les meilleures pratiques de sécurité établies pour les appareils connectés. L'impact est un contrôle administratif total et la modification de tous les paramètres de l'appareil. Aucune réponse du fournisseur n'a été reçue concernant cette vulnérabilité. Jusqu'à ce qu'un correctif soit disponible, les appareils concernés doivent être isolés sur des réseaux inaccessibles aux utilisateurs non fiables.

Hiawatha est un serveur web open-source connu pour ses performances, supportant plusieurs systèmes d'exploitation. Trois vulnérabilités ont été identifiées dans des versions spécifiques de Hiawatha. La fonction fetch_request souffre de request smuggling en raison d'une gestion incorrecte des en-têtes, ce qui pourrait permettre l'accès à des ressources restreintes. Le composant Tomahawk présente une vulnérabilité d'attaque temporelle d'authentification dans son client de gestion en raison de l'utilisation de strcmp. Une erreur de double libération de mémoire existe dans la fonction XSLT show_index, ce qui pourrait entraîner une corruption des données et l'exécution de code arbitraire. Ces vulnérabilités affectent les versions 8.5 à 11.7 de Hiawatha, la double libération étant spécifique aux versions 10.8.2 à 11.7. L'exploitation de ces failles peut conduire à un contournement de l'authentification, à un détournement de session, à l'injection de charges malveillantes et à l'exécution de code. Bien que Hiawatha ne soit plus activement supporté, le développeur a reconnu ces problèmes. Des mesures d'atténuation et de correction pour les trois vulnérabilités ont été testées et incluses dans une prochaine version. Il est conseillé aux utilisateurs d'installer la version mise à jour dès qu'elle sera disponible. Ali Norouzi de Keysight est remercié pour avoir signalé ces problèmes.

Le logiciel de comptabilité municipale Workhorse Software Services, avant la version 1.9.4.48019, présente des failles de conception critiques. Ces failles permettent l'accès non autorisé à des données municipales sensibles et permettent l'exfiltration de données. Une vulnérabilité majeure concerne le stockage en clair des informations de connexion de base de données à côté de l'exécutable de l'application. Cela permet aux individus ayant accès en lecture au répertoire de récupérer éventuellement les informations d'identification SQL si l'authentification SQL est utilisée. De plus, le logiciel présente une fonction de sauvegarde de base de données non authentifiée accessible même à partir de l'écran de connexion. Cette sauvegarde crée un archive ZIP non chiffré contenant un fichier .bak qui peut être restauré sans mot de passe. Un attaquant pourrait exploiter ces vulnérabilités, par exemple, en obtenant un accès physique à une station de travail ou en utilisant un malware. L'impact d'une telle attaque pourrait être l'exfiltration de la base de données entière. Cela pourrait exposer des informations personnelles identifiables sensibles et des enregistrements financiers municipaux complets. La falsification de données, la compromission des traces d'audit et la mise en danger des opérations financières sont également des risques significatifs. Le CERT/CC recommande fortement de mettre à jour vers la version 1.9.4.48019 immédiatement. Des stratégies de mitigation supplémentaires incluent la restriction de l'accès au répertoire de l'application et l'activation du chiffrement du serveur SQL avec l'authentification Windows.

Le texte discute des vulnérabilités dans le firmware UEFI AMI Aptio, en particulier au sein du mode de gestion du système (SMM). Ces vulnérabilités proviennent d'une validation de pointeurs incorrecte dans certains modules de firmware. Un attaquant pourrait exploiter ces failles pour écraser les données SMRAM, ce qui pourrait entraîner une exécution de code non autorisée. Le SMM fonctionne à un niveau très privilégié, le "ring -2", plus profond que le noyau du système d'exploitation. L'exploitation de cette vulnérabilité permet de contourner les protections du firmware et de réaliser des modifications persistantes. Cela pourrait corrompre la mémoire et écraser les données SMRAM sensibles, permettant ainsi de contrôler l'appareil. L'impact inclut la capacité d'exécuter du code dans l'environnement SMM très privilégié. Cela peut entraîner le contournement de certaines protections au niveau du firmware. La solution recommandée est d'installer les dernières mises à jour de firmware UEFI fournies par le fabricant de votre PC. Les utilisateurs doivent consulter leur fournisseur et l'avis de sécurité d'AMI pour obtenir des mises à jour. L'équipe de recherche Binarly a divulgué cette vulnérabilité de manière responsable à CERT/CC. AMI a répondu en collaborant et en fournissant une réponse rapide.

Une vulnérabilité récemment découverte, connue sous le nom de « MadeYouReset » (CVE-2025-8671), affecte de nombreuses implémentations HTTP/2. Cette faille permet des attaques de déni de service (DoS) en exploitant une incohérence dans la façon dont les réinitialisations de flux sont gérées. La vulnérabilité apparaît parce que, tandis que les spécifications HTTP/2 considèrent un flux réinitialisé comme fermé, de nombreuses implémentations de serveur continuent de traiter la requête en interne. Cette disparité signifie qu'un client peut déclencher un nombre illimité de requêtes concurrentes sur une seule connexion. Les attaquants peuvent exploiter cela en envoyant rapidement des trames de réinitialisation, provoquant une épuisement des ressources sur le serveur. L'impact principal est le potentiel pour des attaques de déni de service distribué (DDoS), entraînant une surcharge du serveur ou une épuisement de la mémoire. Bien que HTTP/2 ait un réglage pour le nombre maximal de flux concurrents, les flux de réinitialisation ne sont pas pris en compte dans cette limite. Cette vulnérabilité est similaire à l'attaque « Rapid Reset » (CVE-2023-44487). Plusieurs vendeurs ont publié des correctifs, et les utilisateurs sont conseillés de les appliquer. Le CERT/CC recommande que les vendeurs examinent leurs implémentations HTTP/2 et limitent les RST_STREAM envoyés par le serveur. Des stratégies de mitigation supplémentaires sont disponibles auprès des rapporteurs de la vulnérabilité.

Les logiciels Partner Software et Partner Web sont vulnérables aux attaques de scripting intersite (XSS) en raison d'une mauvaise sanitization des fichiers de rapport et de note. Ces applications, utilisées par l'industrie, les municipalités, les gouvernements d'État et les entrepreneurs privés, permettent aux utilisateurs autorisés de télécharger des fichiers. La fonctionnalité de téléchargement de fichiers ne restreint pas les types de fichiers, permettant ainsi aux attaquants d'exécuter du code malveillant sur le dispositif d'une victime. De plus, Partner Web est livré avec des informations d'identification d'administrateur par défaut, créant un risque de sécurité important. Ces vulnérabilités, identifiées comme CVE-2025-6076, CVE-2025-6077 et CVE-2025-6078, peuvent entraîner l'exécution de code arbitraire et la compromission du dispositif. L'impact de ces vulnérabilités permet aux attaquants d'obtenir un accès administrateur ou de réaliser des attaques XSS. Partner Software a publié un correctif dans la version 4.32.2 pour résoudre ces failles de sécurité. Le correctif supprime les rôles d'utilisateur Admin et Edit, sanitize les entrées dans la section Notes et restreint les pièces jointes à des formats spécifiques. Les versions affectées de Partner Web sont les 4.32 et antérieures. Les informations sur le correctif peuvent être trouvées sur le site web de Partner Software.

Le routeur TP-Link Archer C50, maintenant considéré comme obsolète, présente une vulnérabilité critique de firmware. Cette faille concerne une clé de chiffrement DES statique et codée en dur utilisée en mode ECB pour les fichiers de configuration. Les attaquants peuvent exploiter cela en déchiffrant les données sensibles stockées dans ces fichiers. Le chiffrement manque de randomisation et d'authentification de message, ce qui facilite la déchiffrement hors ligne. Une exploitation réussie permet d'accéder aux informations d'identification administratives et aux mots de passe Wi-Fi. Elle expose également les paramètres de réseau tels que les adresses IP statiques et les détails des serveurs DNS. Cela permet de recueillir des informations sur la structure interne du réseau et les appareils connectés. La vulnérabilité est facile à exploiter sur le firmware par défaut et ne nécessite pas que le routeur soit actif. L'impact principal est un accès autorisé complet aux configurations du routeur, entraînant une compromission du réseau. Actuellement, il n'y a pas de solution pratique connue et le dispositif ne reçoit plus de mises à jour de sécurité. Les utilisateurs sont fortement conseillés de remplacer l'Archer C50 par un modèle de routeur pris en charge.

Lakeside Software propose un produit appelé SysTrack, une plateforme d'expérience digitale des employés IT, qui comprend un exécutable appelé LsiAgent.exe. LsiAgent.exe charge divers fichiers de bibliothèque de lien dynamique (DLL) lors de son exécution, mais il ne vérifie pas correctement les fichiers ou leurs emplacements. Cette vulnérabilité permet à un attaquant de placer un fichier DLL malveillant dans un chemin système connu sur le dispositif de la victime. Lorsque LsiAgent.exe s'exécute, il chargera le code malveillant, entraînant l'exécution de code et l'élévation de privilèges. LsiAgent.exe s'exécute dans le contexte NT AUTHORITY\SYSTEM, ce qui rend l'impact plus grave. La vulnérabilité, suivie sous le numéro CVE-2025-6241, peut être exploitée en plaçant un fichier DLL malveillant dans une variable d'environnement de chemin système ou en empaquetant le programme LsiAgent.exe avec un fichier DLL malveillant. Un correctif a été fourni par Lakeside Software pour corriger le programme LsiAgent.exe affecté. La version vulnérable, 10.05.0027, a été corrigée dans les versions 10.10.0.42 et supérieures de LsiAgent.exe. Les notes de version de la version corrigée sont disponibles sur le site web de Lakeside Software. Merci au rapporteur Owen Sortwell et aux contributeurs Adam Merrill et Brian Healy des Laboratoires nationaux de Sandia pour avoir découvert et signalé la vulnérabilité.

Des vulnérabilités d'appel en mode de gestion du système (SMM) ont été identifiées dans les modules UEFI présents dans le micrologiciel Gigabyte. Ces vulnérabilités peuvent être exploitées pour élever les privilèges et exécuter du code arbitraire dans l'environnement SMM d'un processeur compatible UEFI. La spécification de l'interface de firmware extensible unifiée (UEFI) définit une interface entre un système d'exploitation et un firmware de plate-forme, et UEFI peut interagir directement avec le matériel en utilisant SMM. Les opérations SMM sont exécutées dans une région de mémoire protégée appelée System Management RAM (SMRAM) et ne sont accessibles que par le biais de gestionnaires d'interruptions de gestion du système (SMI). Quatre vulnérabilités ont été identifiées dans les implémentations de micrologiciel Gigabyte, notamment l'utilisation non vérifiée du registre RBX, le manque de validation des structures de pointeurs de fonction, la vulnérabilité de déréférencement de pointeur double et le registre RBX contrôlé par l'attaquant utilisé comme pointeur non vérifié. Ces vulnérabilités peuvent être déclenchées via des gestionnaires SMI à partir du système d'exploitation ou pendant les phases de démarrage précoce, les états de veille ou les modes de récupération. Un attaquant avec des privilèges administratifs locaux ou à distance peut exploiter ces vulnérabilités pour exécuter du code arbitraire en mode de gestion du système, contournant ainsi les protections au niveau du système d'exploitation. L'exploitation peut désactiver les mécanismes de sécurité UEFI tels que Secure Boot et Intel BootGuard, permettant ainsi des implants de firmware furtifs et un contrôle persistant du système. Gigabyte a publié un micrologiciel mis à jour pour résoudre les vulnérabilités, et les utilisateurs sont fortement invités à visiter le site de support Gigabyte pour déterminer si leurs systèmes sont affectés et pour appliquer les mises à jour nécessaires.

Plusieurs vulnérabilités ont été identifiées dans les produits de gestion de Ruckus Wireless, notamment Virtual SmartZone (vSZ) et Network Director (RND). Ces vulnérabilités comprennent le contournement d'authentification, les secrets codés en dur, la lecture arbitraire de fichiers et l'exécution de code à distance sans authentification. Ces problèmes peuvent permettre un compromis total des environnements gérés par le logiciel affecté. Ruckus Wireless fournit des appareils réseau pour les lieux comportant de nombreux points d'extrémité connectés à Internet. Virtual SmartZone est un logiciel de contrôle de réseau sans fil capable de gérer des réseaux à grande échelle. Ruckus Network Director est un logiciel permettant de gérer plusieurs clusters vSZ sur un seul réseau. Les vulnérabilités identifiées comprennent des secrets codés en dur, la lecture arbitraire de fichiers et l'exécution de code à distance sans authentification. Ces vulnérabilités peuvent être enchaînées pour créer des attaques qui contournent les contrôles de sécurité. Aucune correction n'a été fournie par le fournisseur, et il est conseillé aux administrateurs réseau de limiter l'accès aux environnements de gestion sans fil pour atténuer les risques. Les vulnérabilités ont été signalées par Noam Moshe de Claroty Team82 et documentées par CERT/CC.

Une vulnérabilité dans les applications de firmware UEFI DTBios et BiosFlashShell de DTResearch permet de contourner le démarrage sécurisé (Secure Boot) en utilisant une variable NVRAM spécialement conçue. La vulnérabilité découle de la mauvaise gestion d'une variable NVRAM à l'exécution, permettant une primitive d'écriture pour modifier des structures de firmware critiques, notamment le protocole de sécurité globale Security2 utilisé pour la vérification du démarrage sécurisé. Étant donné que les applications affectées sont signées par l'autorité de certification Microsoft, cette vulnérabilité peut être exploitée sur tout système UEFI-compliant, permettant l'exécution de code non signé pendant le processus de démarrage. La vulnérabilité a été identifiée dans une application UEFI signée par Microsoft qui utilise la variable NVRAM IhisiParamBuffer pour des opérations de mémoire, notamment la surécriture du paramètre de sécurité global critique gSecurity2. Cela permet de contourner la vérification basée sur le protocole d'architecture de sécurité 2, autorisant l'exécution de tout code UEFI non signé, indépendamment des paramètres de démarrage sécurisé UEFI. La vulnérabilité peut être exploitée dans les environnements où la variable NVRAM IhisiParamBuffer n'est pas verrouillée et reste modifiable à l'exécution. Pour atténuer cette vulnérabilité, les modules UEFI affectés doivent être mis à jour via des logiciels fournis par le vendeur, et tous les propriétaires de systèmes UEFI-compliant doivent mettre à jour leur base de données de signatures de démarrage sécurisé interdites. Un attaquant capable de modifier la variable NVRAM IhisiParamBuffer peut l'utiliser pour effectuer des écritures mémoire arbitraires, permettant de contourner le démarrage sécurisé pendant le démarrage précoce. Cela permet l'exécution de code non signé ou malveillant avant que le système d'exploitation ne se charge, ce qui peut installer des malware persistants ou des rootkits de noyau qui survivent aux redémarrages et réinstallations du système d'exploitation.

Une vulnérabilité a été identifiée dans la spécification de la bibliothèque (TPM) 2.0, qui peut être exploitée par un attaquant ayant accès à une commande TPM. L'attaquant peut envoyer des commandes spécialement conçues, ce qui peut entraîner un accès non autorisé à des données sensibles ou une déni de service du TPM. La technologie TPM fournit des fonctions cryptographiques sécurisées aux systèmes d'exploitation sur les plateformes informatiques modernes. Le groupe de travail sur la confiance dans l'informatique (TCG) maintient les spécifications TPM et fournit une implémentation de référence pour aider les vendeurs à adopter. Un chercheur en sécurité a découvert une vulnérabilité de lecture hors limite (OOB) dans la fonction CryptHmacSign de l'implémentation de référence. Le problème survient parce que le code de référence n'a pas mis en place des vérifications de cohérence appropriées, ce qui peut entraîner une lecture hors limite. Un attaquant peut exploiter cette incohérence en soumettant un paquet malveillant, ce qui entraîne une lecture hors limite de la mémoire TPM, ce qui peut exposer des données sensibles. Un attaquant local authentifié peut envoyer des commandes malveillantes à une interface TPM vulnérable, ce qui peut entraîner une divulgation d'informations ou une déni de TPM. Le TCG a publié une mise à jour d'errata pour la spécification de la bibliothèque TPM 2.0 et a mis à jour les implémentations de référence pour résoudre ce problème. Les utilisateurs sont fortement encouragés à appliquer les mises à jour liées au micrologiciel TPM fournies par leurs vendeurs de matériel ou de système.

Une vulnérabilité dans le firmware UEFI Insyde H2O permet l'injection de certificats numériques via une variable NVRAM protégée. Ce problème découle de l'utilisation non sécurisée d'une variable NVRAM, qui est utilisée comme stockage fiable pour un certificat numérique dans la chaîne de validation de confiance. Un attaquant peut stocker son propre certificat dans cette variable et exécuter ensuite du code firmware arbitraire pendant le processus de démarrage précoce dans l'environnement UEFI. Les applications UEFI doivent être signées et vérifiées pour l'exécution sous Secure Boot, et les signatures peuvent provenir de l'OEM ou des entrées dans la base de données de signature du système. La vulnérabilité a été identifiée en raison de l'utilisation d'une variable NVRAM non fiable, SecureFlashCertData, pour stocker et échanger des clés publiques. Parce que cette variable NVRAM n'est pas protégée, elle peut être mise à jour à l'exécution, permettant à un attaquant d'injecter ses propres clés. Pour atténuer cette vulnérabilité, les modules UEFI affectés doivent être mis à jour via des mises à jour de firmware fournies par le vendeur. Les outils d'analyse de sécurité du firmware peuvent également inspecter les variables affectées dans les images de firmware pour évaluer l'exposition à cette vulnérabilité. Un attaquant capable de modifier la variable NVRAM SecureFlashCertData à l'exécution peut l'utiliser pour injecter son certificat numérique et contourner Secure Boot. Cela permet du code non signé ou malveillant de s'exécuter avant que le système d'exploitation ne charge, ce qui peut installer des logiciels malveillants persistants ou des rootkits de noyau qui survivent aux redémarrages et aux réinstallations du système d'exploitation.

Une vulnérabilité de dépassement de pile a été découverte dans la bibliothèque open source libexpat. Elle peut être exploitée pour mener des attaques par déni de service ou des attaques de corruption de mémoire. La vulnérabilité est due à la manière dont libexpat gère l'expansion récursive des entités, ce qui conduit à une récursion indéfinie et à des plantages éventuels. Un attaquant peut exploiter cette vulnérabilité en fournissant un document XML spécialement conçu à un logiciel qui utilise libexpat. libexpat est une bibliothèque largement utilisée, employée par divers logiciels et entreprises. La vulnérabilité, référencée sous le nom de CVE-2024-8176, peut être exploitée pour provoquer des attaques par déni de service ou des attaques de corruption de mémoire. Un correctif pour cette vulnérabilité a été fourni dans la version 2.7.0 de libexpat. Le correctif peut être vérifié à l'aide de générateurs de preuve de concept. La vulnérabilité a été initialement découverte par Jann Horn du Project Zero de Google et signalée par Sebastian Pipping, le responsable de la maintenance du projet. Les fournisseurs peuvent participer à la discussion sur la vulnérabilité sur le site web VINCE. La vulnérabilité a été écrite par Christopher Cullen.

Le pare-feu d'application web (WAF) cloud Radware est vulnérable à des contournements de filtres. Les attaquants peuvent contourner le WAF en utilisant des requêtes HTTP spécialement conçues, en particulier avec la méthode GET. L'ajout de données aléatoires au corps de la requête GET peut contourner les protections du WAF. Une autre méthode de contournement consiste à utiliser des caractères spéciaux dans les requêtes. La validation des entrées du WAF filtre de manière inadéquate ces caractères spéciaux. Ces vulnérabilités permettent aux entrées malveillantes d'atteindre l'application web protégée. Cela signifie que les attaquants peuvent lancer des attaques sans être détectés par le pare-feu. Les vulnérabilités signalées ont apparemment été corrigées. Radware n'a pas reconnu les premières découvertes lors de leur divulgation. Oriol Gegundez est crédité d'avoir découvert et signalé les problèmes.

Le produit audio-sur-IP PYKO-OUT de Digigram est utilisé pour le décodage audio et a diverses applications. Le produit dispose de fonctionnalités matérielles telles que des sorties mono analogiques et un port USB. Par défaut, le produit est accessible sans mot de passe, ce qui le rend vulnérable aux attaques. Lorsqu'il est connecté à Internet, le dispositif peut être accessible par des attaquants, leur permettant de pivoter vers des dispositifs connectés adjacents ou de compromettre les fonctionnalités du dispositif. Digigram est un fournisseur de matériel et de logiciels audio qui vend le produit PYKO-OUT. Une vulnérabilité a été découverte dans le composant serveur web du produit, qui ne nécessite ni informations de connexion ni mot de passe pour l'accès. Un attaquant peut accéder à la configuration du dispositif, contrôler les sorties et les entrées audio, et potentiellement accéder à d'autres dispositifs connectés. Digigram a déclaré le produit en fin de vie et ne fournira pas de correctif pour modifier la configuration par défaut. Les utilisateurs peuvent modifier les paramètres de mot de passe dans l'interface utilisateur du serveur web pour sécuriser le dispositif. Le produit n'est plus vendu par Digigram.

Deux évasions de sécurité systématiques ont été découvertes et affectent plusieurs services d'IA générative, permettant aux attaquants de contourner les protocoles de sécurité et de générer du contenu illicite ou dangereux. La première évasion, appelée "Inception", consiste à demander à l'IA d'imaginer un scénario fictif, qui peut ensuite être adapté pour contourner les garde-fous de sécurité. La deuxième évasion consiste à demander des informations sur la manière de ne pas répondre à une requête spécifique, ce qui permet aux attaquants de basculer entre des requêtes illicites et normales. Les deux évasions utilisent presque la même syntaxe et affectent de nombreux systèmes d'IA populaires, ce qui indique une faiblesse systémique. Les fournisseurs affectés incluent OpenAI, Anthropic, Microsoft, Google, Twitter/X, Facebook, et d'autres. Ces évasions, bien que de faible gravité en elles-mêmes, peuvent être exploitées par des acteurs malveillants motivés pour commettre des actions malveillantes, telles que la génération de contenu sur des sujets illicites. La nature systémique de ces évasions augmente le risque d'attaque, et l'utilisation de services légitimes peut dissimuler une activité malveillante. Divers fournisseurs concernés ont publié des déclarations sur le problème et ont modifié leurs services pour empêcher ces évasions. Les rapporteurs, David Kuzsmar et Jacob Liddle, ont découvert ces évasions, et Christopher Cullen a rédigé le document. Ces évasions ont des implications significatives pour la sécurité et la sûreté des services d'IA.

Les versions 2.4.0 et antérieures de PyTorch Lightning présentent des vulnérabilités liées à la désérialisation non sécurisée de données non fiables. Ces vulnérabilités proviennent de l'utilisation de `torch.load()` sans mesures de sécurité appropriées. Plus précisément, le framework ne force pas le paramètre `weights_only=True`, qui atténue les risques de chargement de code arbitraire. Cinq vulnérabilités ont été identifiées, notamment des problèmes au sein de l'intégration DeepSpeed, de la classe PickleSerializer, de `_load_distributed_checkpoint`, de `_lazy_load` et du module Cloud_IO. Ces composants manquent de mesures de sécurité adéquates lors de la désérialisation des points de contrôle du modèle et des données associées. L'exploitation de ces vulnérabilités pourrait permettre à des fichiers malveillants d'exécuter du code arbitraire au sein du système. Cela peut entraîner une compromission complète du système si un utilisateur charge involontairement un fichier malveillant à partir d'une source locale ou distante. Les mesures d'atténuation incluent la vérification de l'origine des fichiers, l'utilisation d'environnements sandboxés et la réalisation d'analyses statiques et dynamiques. Il est recommandé de désactiver les fonctionnalités de désérialisation non nécessaires en s'assurant que `torch.load()` est toujours utilisé avec `weights_only = True`.

PDQ Deploy est un service utilisé par les administrateurs système pour déployer des logiciels ou des mises à jour sur des machines ciblées au sein de leur réseau. Il utilise des "modes d'exécution" pour le déploiement, y compris le mode "Déployer l'utilisateur" qui crée de manière non sécurisée des informations d'identification sur l'appareil cible. Ces informations d'identification sont supprimées après un déploiement complet, mais un attaquant peut les compromettre avant leur suppression à l'aide d'outils tels que Mimikatz. Les informations d'identification compromises peuvent être utilisées pour obtenir un accès administrateur sur l'appareil cible ou sur d'autres appareils inscrits à PDQ Deploy par l'intermédiaire d'Active Directory. Pour atténuer cette vulnérabilité, les administrateurs système doivent utiliser LAPS, suivre les recommandations du site web PDQ Deploy ou utiliser d'autres modes de déploiement tels que "Logged on User" (utilisateur connecté) qui évite la vulnérabilité. Le mode "Logged on User" nécessite une entrée utilisateur et n'est disponible qu'en mode Entreprise. Une source française a validé et coordonné cette note de vulnérabilité et ce cas avec le CERT/CC.

Une vulnérabilité d'injection de commandes a été identifiée dans le Wi-Fi Test Suite, un outil développé par l'Alliance WiFi, qui a été trouvé déployé sur les routeurs Arcadyan. Le Wi-Fi Test Suite a été créé à l'origine pour soutenir les programmes de certification et la certification des appareils, mais pas pour être utilisé dans des environnements de production. Cependant, il a été découvert dans les déploiements de routeurs commerciaux, exposant une vulnérabilité dans le code de test. La vulnérabilité permet à un attaquant local non authentifié d'exploiter le Wi-Fi Test Suite en envoyant des paquets spécialement conçus, ce qui permet l'exécution de commandes arbitraires avec des privilèges root. Un attaquant peut exploiter cette vulnérabilité pour obtenir le contrôle administratif complet du dispositif affecté. Avec cet accès, l'attaquant peut modifier les paramètres du système, perturber les services réseau critiques, ou réinitialiser le dispositif entièrement. Le CERT/CC recommande aux vendeurs de mettre à jour le Wi-Fi Test Suite vers la version 9.0 ou ultérieure, ou de le supprimer complètement des appareils de production pour réduire le risque d'exploitation. La vulnérabilité a été attribuée l'identifiant CVE-2024-41992. Le CERT/CC remercie le rapporteur Noam Rathaus de SSD Disclosure pour avoir identifié la vulnérabilité. La solution recommandée vise à prévenir les interruptions de service, la compromission des données réseau et la perte potentielle de service pour tous les utilisateurs dépendant du réseau affecté.

Une vulnérabilité de débordement de pile (CVE-2024-7490) existe dans le serveur tinydhcp au sein du framework logiciel avancé (ASF) de Microchip, permettant potentiellement l'exécution de code à distance. La vulnérabilité découle d'une validation d'entrée insuffisante dans l'implémentation DHCP. Étant donné que l'ASF est couramment utilisé dans les appareils IoT, ce problème risque d'affecter de nombreux systèmes. Un seul paquet DHCP Request malveillant envoyé à une adresse multidiffusion peut déclencher le débordement. La version actuelle de l'ASF 3.52.0.2574 et les versions antérieures sont affectées. De nombreuses fourches du logiciel tinydhcp sur GitHub peuvent également être vulnérables. À l'heure actuelle, il n'existe aucune solution pratique connue autre que le remplacement de tinydhcp par un service alternatif. La vulnérabilité a été signalée par Andrue Coombes d'Amazon Element55.

Vulnérabilité PKfail dans UEFI : Un danger pour la sécurité du système La vulnérabilité PKfail dans l'UEFI (Unified Extensible Firmware Interface) permet aux attaquants de contourner le démarrage sécurisé (Secure Boot) en utilisant des clés de plateforme (PK) codées en dur, qui ne devraient être utilisées que pour les tests. Ces clés non fiables peuvent être incluses par inadvertance dans le firmware de production, laissant les systèmes vulnérables à des modules malveillants qui peuvent s'exécuter avec des privilèges élevés lors du démarrage. Le processus de vérification des clés dans l'UEFI est limité, permettant à des clés non fiables d'être confondues avec des clés fiables. L'absence de vérification rigoureuse et de validation basée sur les attributs permet à ces clés de contourner les mesures de sécurité. Le firmware UEFI est souvent invisible aux logiciels EDR, ce qui rend difficile la détection des clés compromises. De plus, de nombreuses implémentations UEFI manquent de capacités de mesure ou d'audit à distance. Un attaquant ayant accès à la partie privée d'une PK compromise peut signer des logiciels UEFI malveillants, ce qui conduit à l'invalidation des fonctionnalités de sécurité, à l'installation de logiciels persistants, à la création de portes dérobées et à des dommages au système. Pour atténuer cette vulnérabilité, il est essentiel de mettre à jour le firmware UEFI vers la dernière version stable fournie par le fournisseur ou le revendeur. Des outils et des informations de Binarly peuvent être utilisés pour évaluer l'impact des clés de plateforme non fiables sur les systèmes. Les mises à jour automatiques du firmware doivent être utilisées pour maintenir le firmware à jour et atténuer les risques.

Vulnérabilités dans les serveurs SMTP sortants hébergés : Spoofing de l'expéditeur et contournement de la sécurité Plusieurs vulnérabilités dans les serveurs SMTP sortants hébergés permettent aux utilisateurs authentifiés de falsifier les informations de l'expéditeur, contournant les mesures de sécurité fournies par SPF, DKIM et DMARC. Ces vulnérabilités résultent d'une vérification insuffisante des expéditeurs authentifiés par rapport aux identités de domaine autorisées par les hébergeurs. Les enregistrements SPF identifient les réseaux IP autorisés pour l'envoi d'e-mails, tandis que DKIM fournit des signatures numériques pour vérifier le contenu spécifique des e-mails, y compris les adresses de l'expéditeur. DMARC s'appuie sur SPF et DKIM, ajoutant un lien vers le domaine de l'expéditeur et des mécanismes de reporting pour améliorer l'authentification et la protection des e-mails. CVE-2024-7208 et CVE-2024-7209 exploitent ces vulnérabilités, permettant aux attaquants authentifiés d'usurper l'identité de domaines partagés et hébergés, contournant les politiques DMARC et la vérification de l'expéditeur. Ce spoofing peut conduire à des attaques de phishing, à la distribution de logiciels malveillants et à des dommages à la réputation des propriétaires de domaines. Les hébergeurs doivent vérifier l'identité des expéditeurs authentifiés par rapport aux identités de domaine autorisées pour atténuer ces vulnérabilités. Les propriétaires de domaines doivent mettre en œuvre des politiques DMARC strictes et envisager d'utiliser des installations DKIM indépendantes pour protéger leurs identités d'expéditeur. Les expéditeurs d'e-mails nécessitant une fidélité d'identité élevée peuvent utiliser S/MIME ou PGP pour une sécurité accrue. Les chercheurs Caleb Sargent et Hao Wang sont reconnus pour avoir signalé ces vulnérabilités.

Les versions de Lighttpd 1.4.50 et antérieures présentent une vulnérabilité de type "use-after-free" qui permet aux attaquants distants de provoquer un crash du serveur ou de provoquer une fuite de mémoire pour accéder à des données sensibles. Bien que corrigée en 2018, de nombreuses implémentations restent vulnérables en raison de l'absence d'ID CVE. La vulnérabilité affecte les environnements IoT et les firmwares utilisant Lighttpd. Binarly a découvert une exploitation persistante, conduisant à l'attribution de CVE-2018-25103. L'impact varie selon l'implémentation de Lighttpd dans différents produits. Les attaquants peuvent provoquer un crash du serveur ou une fuite de mémoire pour accéder à des données sensibles. Le CERT/CC recommande d'appliquer les correctifs des fournisseurs, de limiter l'accès réseau à Lighttpd, ou de remplacer le matériel/logiciel vulnérable. Un grand merci à Binarly, VDOO, Lighttpd et AMI pour leur coopération dans cette divulgation et cet effort de sensibilisation.

RADIUS, un protocole d'authentification largement utilisé, comporte une vulnérabilité permettant aux attaquants de falsifier les réponses d'authentification. La faille provient d'une vérification d'intégrité faible dans la validation des réponses. Les attaquants peuvent modifier des réponses valides, y compris celles qui refusent l'accès, pour accorder l'accès sans connaître le secret partagé. Cette attaque est possible car une partie du texte haché utilisé pour la vérification est prévisible. Cependant, les serveurs RADIUS utilisant le protocole d'authentification extensible (EAP) ou le chiffrement TLS ne sont pas affectés. Pour réduire le risque, les fabricants et les opérateurs devraient mettre à jour le logiciel et les configurations RADIUS pour imposer l'authentification des messages ou utiliser le chiffrement TLS/DTLS. Les opérateurs de réseaux devraient isoler et sécuriser les communications du protocole RADIUS. Les chercheurs et les experts de l'industrie ont collaboré sur cette divulgation pour atteindre plusieurs fabricants et parties prenantes.

Les implémentations IPMI dans les logiciels de contrôleurs de gestion de carte mère (BMC) de plusieurs fabricants sont vulnérables au piratage de sessions IPMI. Un attaquant ayant accès au réseau BMC peut exploiter l'absence d'intégrité de session pour pirater des sessions et exécuter des commandes IPMI arbitraires sur le BMC. L'IPMI est une spécification d'interface informatique qui fournit des capacités de gestion de bas niveau et est prise en charge par de nombreux fabricants de BMC. Elle permet un accès transparent au matériel et prend en charge des fonctionnalités de pré-démarrage. Le chercheur en sécurité a découvert deux vulnérabilités liées au logiciel BMC et à la gestion des sessions, notamment une faiblesse de la randomisation et une incapacité à appliquer les paramètres de session IPMI 2.0 négociés précédemment. Ces vulnérabilités peuvent permettre à un attaquant non authentifié ayant accès au réseau BMC de prédire les ID de session IPMI et/ou les nombres aléatoires du BMC, de rejouer une session précédente ou de pirater une session IPMI. Cela peut permettre à l'attaquant d'injecter des commandes arbitraires dans le BMC et d'exécuter des fonctions à privilèges élevés. Pour corriger ces vulnérabilités, appliquez une mise à jour du fournisseur et restreignez l'accès au réseau BMC en autorisant uniquement les connexions provenant d'hôtes et de réseaux de confiance. Le chercheur en sécurité qui a signalé ces vulnérabilités souhaite rester anonyme.

Une faille de sécurité a été découverte dans le langage R, permettant l'exécution de code arbitraire après la désérialisation de données non fiables. Cette vulnérabilité affecte les fichiers RDS et .rdx, qui peuvent être exploités par des attaquants pour exécuter des commandes malveillantes sur les appareils des victimes. R prend en charge la sérialisation de données et l'évaluation paresseuse via des objets Promise, qui peuvent être exploités lorsqu'ils sont chargés avec du code malveillant. Un attaquant peut distribuer des fichiers .rds et .rdx malveillants en utilisant l'ingénierie sociale, et le code peut accéder aux ressources et exfiltrer des données. Le projet R a publié R Core Version 4.4.0 pour corriger cette vulnérabilité, en limitant les promesses dans les flux de sérialisation. Les utilisateurs doivent appliquer les mises à jour et utiliser les fichiers non fiables dans un environnement de bac à sable pour empêcher tout accès inattendu. La vulnérabilité a été signalée par Kasimir Schulz et Kieran Evans de HiddenLayer, et le document a été rédigé par Christopher Cullen.

Les couches Lambda dans les modèles Keras antérieurs à la version 2.13 autorisent l'injection de code arbitraire, ce qui peut entraîner l'exécution de code malveillant dans les applications d'IA/ML. Cette vulnérabilité découle de l'absence de vérification de sécurité lors du chargement des modèles avec des couches Lambda stockées dans l'ancien format de sérialisation Keras. La documentation de sécurité met en garde contre les risques d'exécution de modèles non fiables, mais cela peut ne pas être pleinement compris par tous les développeurs. Pour résoudre le problème, les utilisateurs doivent passer à Keras 2.13 ou une version ultérieure, en veillant à ce que le paramètre safe_mode soit défini sur True lors du chargement des modèles. Les agrégateurs de modèles doivent empêcher la distribution de modèles avec des fonctionnalités dangereuses, tandis que les créateurs doivent éviter de les utiliser et privilégier les formats de sérialisation sécurisés. Les développeurs de framework doivent utiliser des mécanismes de sérialisation plus sûrs et envisager de restreindre l'exécution du code intégré. En respectant ces mesures, les applications d'IA/ML peuvent améliorer leur sécurité et minimiser le risque d'exploitation de code malveillant.

Des vulnérabilités d'injection de commandes ont été identifiées dans divers langages de programmation lorsqu'ils sont exécutés sous Windows, permettant aux attaquants d'exécuter du code arbitraire déguisé en arguments de commande. Cela se produit en raison d'un manque de validation et de mécanismes d'échappement appropriés pour les commandes et les arguments. La vulnérabilité affecte les applications qui exécutent des commandes sans spécifier d'extensions de fichiers et peut être exploitée pour exécuter des commandes arbitraires. Microsoft a documenté des préoccupations concernant l'exécution de commandes et l'échappement depuis 2011. L'impact de cette vulnérabilité dépend de l'implémentation et peut être atténué en mettant à jour l'environnement d'exécution ou en échappant et en neutralisant manuellement les données. Un chercheur en sécurité a fourni des informations détaillées sur les langages spécifiques affectés et leur état.

Une nouvelle vulnérabilité Spectre v2 découverte, affectant les architectures CPU modernes Une nouvelle vulnérabilité Spectre v2 a été découverte, affectant les architectures CPU modernes qui prennent en charge l'exécution spéculative. Cette vulnérabilité permet à un attaquant non authentifié de fuiter de la mémoire privilégiée du CPU en effectuant un saut spéculatif vers un gadget choisi. Des recherches actuelles montrent que les techniques d'atténuation existantes, telles que la désactivation de l'eBPF privilégié et l'activation de (Fine)IBT, sont insuffisantes pour empêcher l'exploitation de BHI contre le noyau/l'hyperviseur. La vulnérabilité tire parti des chemins d'exécution spéculatifs, qui peuvent être influencés par des logiciels malveillants pour déduire des données privilégiées. Les chercheurs ont démontré qu'ils pouvaient découvrir de nouveaux gadgets exploitables dans le noyau Linux en utilisant leur outil d'analyse de gadgets, InSpectre Gadget, qui contourne les mitigations déployées par Intel. Un attaquant ayant accès aux ressources du CPU peut être en mesure de lire des données privilégiées arbitraires ou des valeurs du registre système en effectuant un saut spéculatif vers un gadget choisi. Pour résoudre cette vulnérabilité et ses variantes, les utilisateurs doivent mettre à jour leurs logiciels conformément aux recommandations des fournisseurs respectifs avec les dernières mitigations disponibles. La vulnérabilité a été découverte et signalée par Sander Wiebing, Alvise de Faveri Tron, Herbert Bos et Cristiano Giuffrida du groupe VUSec à la VU Amsterdam. Ce document a été rédigé par Dr. Elke Drennan, CISSP.

HTTP/2 permet la transmission des champs d'en-tête dans les sections d'en-tête et de pied de page, qui peuvent être divisés en blocs d'en-tête et transmis en plusieurs fragments. Une vulnérabilité a été découverte dans plusieurs implémentations HTTP/2 qui ne limitent pas le nombre de trames CONTINUATION envoyées dans un seul flux, ce qui conduit à des plantages de type « hors mémoire » (OOM). Un attaquant peut exploiter cette faille en envoyant un flux de trames CONTINUATION sans définir le drapeau END_HEADERS, ce qui oblige le serveur à traiter et à décoder les trames, entraînant un plantage OOM. Cette vulnérabilité affecte diverses implémentations, notamment Node.js, Envoy, Tempesta FW, amphp/http, les packages Go net/http et net/http2, Apache Httpd, Apache Traffic Server et le codec HTTP/2 d'Envoy. L'exploitation de cette vulnérabilité peut entraîner des attaques par déni de service (DoS) contre les serveurs utilisant des implémentations vulnérables. Il est essentiel de noter que l'analyse du trafic malveillant entrant exploitant cette vulnérabilité peut s'avérer difficile car la requête HTTP n'est pas correctement terminée, nécessitant une analyse de trafic HTTP brute pour identifier une attaque.

Une faille de sécurité dans les protocoles d'application basés sur l'UDP permet aux attaquants non authentifiés de créer des boucles réseau à l'aide de paquets falsifiés, conduisant à des attaques par déni de service (DoS) ou à un abus de ressources. Les protocoles affectés incluent le DNS, le NTP, le TFTP, l'Echo, le Chargen et le QOTD. L'attaque consiste à déclencher une boucle infinie de messages d'erreur entre les serveurs vulnérables. L'impact peut varier de l'instabilité du service aux pannes réseau et aux attaques d'amplification. Les solutions recommandées incluent : - Appliquer les correctifs du fournisseur - Protéger les applications UDP avec des pare-feu et des contrôles d'accès - Désactiver les services non utilisés - Déployer des techniques anti-falsification - Appliquer des limitations de débit du réseau Les fournisseurs de services doivent mettre en œuvre la qualité de service (QoS) pour se protéger contre l'abus de boucle réseau. Cette vulnérabilité a été découverte par des chercheurs du CISPA Helmholtz Center for Information Security.

Une vulnérabilité de type "Course à l'exécution spéculative" (SRC), surnommée "GhostRace", affecte les processeurs dotés de capacités d'exécution spéculative. Les SRC exploitent les conditions de course pour accéder aux chemins d'exécution spéculatifs et divulguer des données sensibles. Contrairement aux conditions de course classiques, les SRC sont omniprésentes en raison de l'utilisation courante des primitives de synchronisation. Les attaquants peuvent exploiter les SRC pour lire des données privilégiées ou des valeurs du registre système. La vulnérabilité est similaire à Spectre v1 mais utilise des conditions de course. Les recherches sur GhostRace développent les attaques Spectre v1 précédentes en incluant des attaques d'exécution spéculative utilisant des conditions de course. Les fournisseurs ont publié des mesures d'atténuation pour traiter les vulnérabilités SRC.

Sciener, une société qui développe des logiciels et du matériel pour serrures électroniques, présente plusieurs vulnérabilités dans ses produits. Ces vulnérabilités comprennent le forçage brut du caractère unlockKey, la rétrogradation des protocoles de cryptage, la réutilisation des clés AES et l'exploitation des clés et paramètres virtuels. De plus, il existe des problèmes avec les procédures de vérification, les attaques d'usurpation d'identité, le traitement des messages en texte clair et les mises à jour du micrologiciel. Ces vulnérabilités peuvent être exploitées par des attaquants disposant d'une proximité physique, adjacente ou Bluetooth avec la serrure, entraînant une compromission de l'intégrité de la serrure. Les versions affectées incluent la serrure Kontrol Lux, la passerelle G2 et l'application TTLock. Il n'existe aucune solution logicielle pour ces vulnérabilités, mais la désactivation de certaines fonctions Bluetooth peut empêcher certaines attaques.

Les plateformes de processeur graphique à usage général (GPGPU) d'AMD, Apple et Qualcomm manquent d'une isolation adéquate pour la mémoire des processus, permettant aux attaquants locaux d'accéder à la mémoire d'autres processus. Cette vulnérabilité, appelée "LeftoverLocals", affecte les plateformes GPGPU qui autorisent la copie de mémoire entre le CPU et le GPU. Les attaquants ayant accès aux capacités du GPU peuvent exploiter cette vulnérabilité pour accéder à la mémoire censée être isolée des autres utilisateurs et processus. Ce problème provient de l'utilisation de la mémoire locale, un cache géré par logiciel qui peut stocker des données sensibles. Les chercheurs de Trail of Bits ont démontré la présence de la vulnérabilité dans diverses interfaces de programmation, notamment Metal, Vulkan et OpenCL, sur plusieurs systèmes d'exploitation et pilotes. Bien que les appareils NVIDIA n'aient pas été affectés lors des tests, la vulnérabilité a un impact sur les implémentations ML embarquées et de centres de données. La résolution de cette vulnérabilité nécessite une collaboration entre les fabricants de matériel, les fournisseurs de bibliothèques logicielles, les programmeurs et les organismes de normalisation. Les développeurs de logiciels GPU doivent mettre à jour leurs bibliothèques et revoir leurs applications pour la confidentialité des données. Les utilisateurs de GPU doivent appliquer les mises à jour logicielles et s'assurer que leurs appareils disposent des dernières protections de sécurité fournies par leurs fournisseurs.

Une vulnérabilité a été découverte dans la façon dont les serveurs et logiciels SMTP traitent les séquences de fin de données dans les messages électroniques, permettant aux attaquants de contourner les politiques de sécurité. Cette incohérence peut être exploitée en créant un e-mail qui dévie de la séquence standard de fin de données, provoquant une confusion lors de son transfert entre les passerelles SMTP. L'attaque, connue sous le nom de "SMTP Smuggling", implique plusieurs parties prenantes telles que les fournisseurs de services de messagerie, les fournisseurs de logiciels de messagerie et les fournisseurs de produits de sécurité de messagerie. Elle permet aux attaquants d'usurper l'identité de tout expéditeur dans n'importe quel domaine hébergé par le service de messagerie d'origine et de contourner les politiques de sécurité. Les fournisseurs et administrateurs de services de messagerie doivent s'assurer que leurs logiciels de messagerie sont à jour et appliquer les correctifs ou solutions de contournement nécessaires fournis par leurs fournisseurs de logiciels. Les utilisateurs de messagerie doivent rester prudents lorsqu'ils répondent aux e-mails et cliquent sur des liens susceptibles de télécharger des logiciels malveillants. La vulnérabilité a reçu des numéros CVE pour Exim, Postfix et Sendmail.

Des vulnérabilités multiples ont été découvertes dans la pile TCP/IP de Tianocore EDKII (NetworkPkg), pouvant mener à l'exécution de code à distance, à un déni de service (DoS), à un empoisonnement du cache DNS ou à une fuite d'informations sensibles. Ces vulnérabilités, collectivement connues sous le nom de PixieFail, résultent de problèmes tels que le débordement de tampon, la randomisation prévisible et l'analyse incorrecte. Le code affecté est utilisé dans les implémentations de micrologiciels par divers fournisseurs. Une exploitation réussie nécessite l'activation de l'option de démarrage PXE, et l'impact dépend de la version du micrologiciel et de la configuration de démarrage PXE. Des attaquants locaux et, dans certains cas, à distance, peuvent exploiter ces vulnérabilités. Il est recommandé de désactiver le démarrage PXE, de mettre en œuvre une isolation du réseau et de déployer des déploiements de systèmes d'exploitation sécurisés. Les utilisateurs doivent consulter les avis spécifiques aux fournisseurs et appliquer les mises à jour vers la dernière version stable du micrologiciel. Les utilisateurs en aval de Tianocore EDKII doivent mettre à jour vers la dernière version contenant les correctifs. L'utilisation de pratiques de déploiement de systèmes d'exploitation sécurisés et la migration vers des environnements de démarrage réseau modernes tels que UEFI HTTPS Boot peuvent améliorer la sécurité. Quarkslab est reconnu pour avoir mené des recherches et signalé ces vulnérabilités.