Un condensé de sécurité pour les équipes produit et ingénierie : des arrestations par les forces de l'ordre, plusieurs divulgations issues de Pwn2Own, un zero-day Exchange actif dans la nature, une divulgation de vulnérabilité Azure contestée, et une compromission de la chaîne d'approvisionnement affectant OpenAI.
Victoires des forces de l'ordre après une erreur opérationnelle
Deux présumés cybercriminels ont été identifiés et appréhendés après avoir, selon les rapports, omis de désactiver l'enregistrement Microsoft Teams lors d'une opération. La couverture de la semaine note également une arrestation liée à un présumé baron d'un marché du dark net, ainsi que la conclusion de l'incident de ransomware touchant Instructure Canvas.
Pwn2Own Berlin Jour 1 : Windows 11 et Edge ciblés
Le premier jour de Pwn2Own Berlin 2026, les équipes participantes ont démontré 24 exploits zero-day distincts et ont remporté des prix en espèces totalisant 523 000 $. Parmi les produits montrés comme vulnérables figuraient Windows 11 et Microsoft Edge.
Pwn2Own Berlin Jour 2 : Exchange, Windows et RHEL montrent davantage de failles
Le deuxième jour du concours a produit une autre série de démonstrations réussies : des chercheurs ont exploité 15 zero-days uniques et ont reçu 385 750 $ en prix. Les cibles incluaient Windows 11, Microsoft Exchange et Red Hat Enterprise Linux for Workstations.
Microsoft signale un zero-day d'Exchange Server en cours d'exploitation
Microsoft a publié des mesures d'atténuation pour une faille de haute gravité dans Exchange Server qui a été utilisée dans des attaques. La vulnérabilité permet l'exécution de code arbitraire via un vecteur de cross-site scripting ciblant spécifiquement les utilisateurs d'Outlook on the web.
Contestation autour d'un signalement pour Azure Backup for AKS et d'un CVE manquant
Un chercheur affirme que Microsoft a discrètement corrigé un problème critique affectant Azure Backup for AKS sans attribuer de CVE après avoir initialement rejeté le signalement. Microsoft conteste ce récit, déclarant que le comportement observé était attendu et qu'aucune modification produit n'a été effectuée.
OpenAI confirme une compromission liée à l'incident de chaîne d'approvisionnement TanStack
OpenAI a reconnu que deux appareils d'employés ont été compromis lors de la récente attaque de la chaîne d'approvisionnement liée à TanStack qui a affecté des centaines de paquets npm et PyPI. Par précaution, l'entreprise a révoqué et remplacé les certificats de signature de code de ses applications.
Récapitulatif rapide : cette semaine a combiné des démonstrations d'exploits très visibles et des incidents en cours avec des actions d'application de la loi notables et des différends entre fournisseurs. Les équipes qui livrent des logiciels devraient suivre les mesures d'atténuation publiées pour Exchange, se conformer aux avis liés à la chaîne d'approvisionnement et rester attentives aux suites émanant des fournisseurs concernés.
Restez informe
Recevez par email les sorties, mises a jour produit et annonces de lancement. Une seule liste pour les actualites et les produits.
Community feedback
What do you think?
Leave one reaction and join the discussion below.
Comments
0 comments