Synology DSM 7.2.2-72806 Update 4 corrige des failles de sécurité, dont la CVE-2025-8024 dans un SDK. Mettez à jour votre NAS pour vous protéger.

The post Synology – DSM 7.2.2-72806 Update 4 : une mise à jour de sécurité pour votre NAS first appeared on IT-Connect.

Bon, si vous êtes du genre à balader votre casque Sony WH-1000XM6 partout en ville, j’ai une mauvaise nouvelle. Des chercheurs viennent de découvrir que n’importe qui à 10 mètres de vous peut transformer vos écouteurs en dispositif d’écoute. Et ça concerne aussi JBL, Bose, Marshall et plein d’autres marques populaires.

La société de cybersécurité allemande ERNW a mis le doigt sur des vulnérabilités critiques dans les puces Bluetooth fabriquées par Airoha, un fournisseur taïwanais dont les composants équipent une tonne de casques et écouteurs qu’on adore tous. Le problème c’est que ces puces ont un protocole propriétaire qui permet d’accéder directement à la mémoire RAM et flash des appareils, sans authentification, sans appairage, sans rien du tout.

Concrètement, un pirate qui se trouve dans votre périmètre Bluetooth peut donc activer discrètement le micro de votre casque même quand il est inactif (mais allumé), écouter vos conversations, récupérer votre numéro de téléphone, votre historique d’appels et même voir ce que vous écoutez. Le plus flippant dans l’histoire, c’est que les chercheurs ont démontré qu’on pouvait créer un malware capable de se propager automatiquement d’un appareil à l’autre, façon virus zombie pour casques audio.

Les vulnérabilités en question portent les doux noms de CVE-2025-20700, CVE-2025-20701 et CVE-2025-20702, avec des scores de gravité allant jusqu’à 9.6/10 pour la plus critique, autant dire que c’est du sérieux. Pour vous donner une idée de l’ampleur du désastre, voici la liste des appareils confirmés comme vulnérables : les Sony WH-1000XM4, XM5 et XM6, les WF-1000XM3, XM4 et XM5, les Link Buds S, les Bose QuietComfort Earbuds, les Jabra Elite 8 Active, plusieurs modèles JBL et Marshall… Bref, probablement ce que vous avez sur les oreilles en ce moment.

Alors avant que vous ne jetiez vos écouteurs par la fenêtre, respirez un coup. Pour exploiter ces failles, il faut quand même un bon niveau technique et être physiquement proche de la cible. On n’est pas dans un scénario où le premier script kiddie venu peut pirater tous les casques du métro. Mais les chercheurs d’ERNW précisent que ça reste une menace sérieuse surtout pour des cibles de choix comme des journalistes, des diplomates ou des dirigeants d’entreprise.

Ce qui est particulièrement agaçant dans cette affaire, c’est qu’ERNW a signalé les vulnérabilités à Airoha le 25 mars 2025, mais la boîte n’a répondu que le 27 mai. Un SDK corrigé a été envoyé aux fabricants début juin, mais maintenant c’est à chaque marque de créer et distribuer des mises à jour firmware pour chaque modèle concerné. Et connaissant la vitesse à laquelle ces géants de l’électronique déploient leurs updates… on n’est pas sortis de l’auberge.

Alors en attendant que Sony, Bose et compagnie se bougent les fesses, qu’est-ce qu’on peut faire ?

Déjà, si vous êtes une personnalité publique ou si vous bossez sur des trucs sensibles, évitez d’utiliser vos casques Bluetooth dans les lieux publics. Et pour le commun des mortels, restez vigilants et guettez les mises à jour firmware de vos appareils. Vous pouvez aussi désactiver le Bluetooth quand vous ne l’utilisez pas, même si je sais que c’est chiant avec des écouteurs sans fil.

Pour ceux qui veulent vraiment être tranquilles, il reste toujours la bonne vieille solution du casque filaire. C’est has-been, mais au moins personne ne peut transformer vos Sennheiser IE 200 en micro-espion à distance. Parfois les vieilles solutions restent les plus sûres…

Encore une fois, nos gadgets connectés préférés peuvent se retourner contre nous. Entre les failles dans les routeurs, les caméras de surveillance hackables et maintenant nos casques audio qui peuvent nous espionner, on n’est pas sorti de l’auberge… Mais bon, on va pas revenir au baladeur cassette non plus donc restez juste prudents et mettez à jour vos appareils dès que possible.

Source

CVE-2025-53816 dans 7-Zip : un attaquant peut exploiter cette faille pour provoquer un déni de service (DoS) à l'aide d'une archive RAR5 spécialement conçue.

The post 7-Zip : une nouvelle faille de sécurité liée au traitement des archives RAR5 first appeared on IT-Connect.

Bon, je suis tombé sur un truc rigolo qui va vous faire reconsidérer la sécurité des robots modernes. Vous vous souvenez de cette vidéo virale de juillet 2022 où on voyait un robot chien Unitree avec une mitraillette montée dessus ? Bah figurez-vous qu’un hacker nommé d0tslash a prouvé qu’on pouvait mettre KO ce genre de bestiole avec un simple Flipper Zero à 169 balles.

Il suffit littéralement d’appuyer sur un bouton et le robot s’effondre comme une marionnette dont on aurait coupé les fils. Pas de piratage complexe, pas de lignes de code interminables, juste un signal radio sur la fréquence 433 MHz et pouf, le chien robot fait dodo.

Le compte du développeur de Gravity Forms pour WordPress a été compromis : un malware (porte dérobée) a été distribué avec le plugin pendant 2 jours.

The post WordPress : cette porte dérobée dans le plugin Gravity Forms menace des milliers de sites web ! first appeared on IT-Connect.

Très mauvaise nouvelle les amis… Des chercheurs polonais viennent de péter la sécurité des eSIM et ça fait froid dans le dos puisqu’on parle de 2 milliards de puces compromises qui permettent de cloner votre carte SIM à distance.

L’équipe de Security Explorations, un labo de recherche en sécurité basé en Pologne, vient en effet de publier leurs trouvailles et c’est pas joli joli puisqu’ils ont réussi à exploiter une vulnérabilité dans les puces eSIM de Kigen, un des plus gros fournisseurs du marché.

Une nouvelle faille de sécurité critique, de type injection SQL, a été découverte FortiWeb, la solution WAF de chez Fortinet. Voici comment se protéger.

The post Fortinet : cette injection SQL dans FortiWeb ouvre la porte à l’exécution de commandes malveillantes first appeared on IT-Connect.

Une faille de sécurité critique dans le firmware AMI MegaRAC, activement exploitée, menace la sécurité de milliers de serveurs : CVE-2024-54085.

The post Cette faille critique dans MegaRAC menace des milliers de serveurs, y compris ceux éteints ! first appeared on IT-Connect.

Vous devez mettre à jour Google Chrome 138 pour vous protéger de la CVE-2025-6554, une faille de sécurité zero-day déjà exploitée par des pirates.

The post Google Chrome 138 – CVE-2025-6554 : patchez pour vous protéger de cette nouvelle faille zero-day first appeared on IT-Connect.

Citrix NetScaler ADC et Gateway sont menacés par plusieurs failles de sécurité, dont une faille de sécurité zero-day, déjà exploitée et surnommée CitrixBleed 2.

The post CitrixBleed 2 : 56 000 instances vulnérables à cette nouvelle faille zero-day ! first appeared on IT-Connect.

Une faille importante affecte WinRAR et permet l'exécution de malwares après extraction d'archives piégées. Patchez pour vous protéger de la CVE-2025-6218.

The post Patchez WinRAR : une faille permet l’exécution de malware via des archives piégées first appeared on IT-Connect.

Si comme moi, vous avez une imprimante Brother qui traîne dans votre bureau, alors accrochez-vous bien à vos cartouches d’encre, parce que Rapid7 vient de balancer une bombe. Pas moins de 689 modèles d’imprimantes Brother sont touchés par 8 vulnérabilités dont certaines sont carrément flippantes. Et la plus critique d’entre elles permet à n’importe quel pirate de générer le mot de passe administrateur de votre imprimante sans même avoir besoin de s’authentifier !

CVE-2025-49144 : cette vulnérabilité importante dans Notepad++ permet une prise de contrôle complète sous Window et un exploit PoC est disponible.

The post Une faille dans Notepad++ menace Windows : un exploit PoC est disponible ! first appeared on IT-Connect.

Des millions d'utilisateurs de PC Windows équipés du logiciel ASUS Armoury Crate sont affectés par une vulnérabilité importante : CVE-2025-3464.

The post ASUS Armoury Crate – CVE-2025-3464 : cette faille menace des millions de PC sous Windows ! first appeared on IT-Connect.

Selon la CISA, les machines sous Linux sont actuellement la cible d'attaques basée sur l'exploitation d'une faille de sécurité critique : la CVE-2023-0386.

The post Linux – CVE-2023-0386 : la CISA alerte sur l’exploitation active de cette faille de sécurité ! first appeared on IT-Connect.

Une faille critique découverte dans Veeam Backup & Replication permet une exécution de code à distance sur les serveurs intégrés à un AD : CVE-2025-23121.

The post Faille dans Veeam : n’importe quel utilisateur du domaine peut compromettre le serveur ! first appeared on IT-Connect.

La mise à jour de juin 2025 pour Windows permet de corriger la faille CVE-2025-3052, qui peut mener au bypass du Secure Boot et à l'installation de Bootkit.

The post Windows – CVE-2025-3052 : cette faille ouvre la porte à l’installation de malware Bootkits ! first appeared on IT-Connect.

Une nouvelle faille de sécurité importante, découverte dans Microsoft Outlook, expose les utilisateurs à des attaques Zero-Click. Attention à la CVE-2025-47176.

The post Microsoft Outlook menacé par une nouvelle faille de sécurité et des attaques Zero-click : CVE-2025-47176 first appeared on IT-Connect.

Une faille de sécurité critique dans Wazuh Server (CVE-2025-24016) a été exploitée par de nouvelles variantes du Botnet Mirai : voici comment se protéger.

The post Patchez Wazuh : ces deux variantes du Botnet Mirai exploitent une faille de sécurité critique ! first appeared on IT-Connect.