Breaking news and updates from the world of technology.
Le Patch Tuesday de juin 2026 de Microsoft est le plus important de l'histoire des mises a jour mensuelles de l'entreprise: 200 vulnerabilites corrigees, 38 critiques et six zero-days — dont trois avec du code d'exploit deja public.
Google et Mandiant confirment que le groupe a ciblé plus de 100 organisations — principalement des universités américaines — via une faille d'exécution de code à distance non authentifiée pour laquelle aucun patch n'est encore disponible.
CVE-2026-35273 est une faille d'exécution de code à distance non authentifiée avec CVSS 9.8 que ShinyHunters exploite activement. L'Université de Nottingham a confirmé une violation.
CVE-2026-11645 est un accès mémoire hors limites dans le moteur V8 de Chrome permettant l'exécution de code à distance. Mettez à jour vers Chrome 149.0.7827.102 maintenant.
Microsoft a publié sa plus grande mise à jour Patch Tuesday, corrigeant 208 vulnérabilités dont une faille kernel wormable notée CVSS 9.8 — un chercheur a simultanément divulgué un exploit inédit pour Windows Defender.
Le ver auto-réplicant Miasma a compromis 73 dépôts dans les organisations GitHub de Microsoft le 5 juin, en utilisant des fichiers de configuration malveillants conçus pour voler les identifiants des développeurs lorsqu'ils ouvrent les dépôts affectés dans des outils de codage IA, notamment Claude Code, Cursor et Gemini CLI. GitHub a désactivé tous les dépôts concernés dans les 105 secondes suivant la détection du commit malveillant.
Une faille critique de contournement d'authentification dans les produits Remote Access VPN de Check Point est activement exploitée par des affiliés du groupe de rançongiciel Qilin. CISA a ajouté CVE-2026-50751 à son catalogue de vulnérabilités exploitées connues (KEV) le 8 juin et a ordonné aux agences fédérales américaines d'appliquer des correctifs d'ici le 11 juin.
Une étude de Booz Allen Hamilton portant sur 2 800 essais de génération de code a révélé que trois des quatre modèles chinois d'IA produisaient un nombre mesurablement plus élevé de codes vulnérables lorsque les prompts identifiaient l'utilisateur comme travaillant pour le gouvernement américain. Qwen3-Coder a généré 130 % de failles supplémentaires. La firme recommande un blocage par défaut des modèles chinois d'IA pour les systèmes gouvernementaux et les infrastructures critiques.
Des attaquants liés à Lapsus$ ont exécuté une attaque de la chaîne d’approvisionnement en trois sauts : ils ont d’abord compromis Trivy (un scanner de vulnérabilités open source), extrait les identifiants CI/CD du pipeline de build de LiteLLM, puis publié les versions malveillantes 1.82.7 et 1.82.8 de LiteLLM sur PyPI. Tout système IA tirant ces versions exécutait du code contrôlé par l’attaquant — et Mercor, un sous-traitant d’entraînement IA valorisé à 10 milliards de dollars qui travaille pour OpenAI, Anthropic, Meta et Google, a été l’une des victimes. Résultat : 939 Go de code source de la plateforme, 211 Go de données utilisateurs et environ 3 To d’analyses de passeports de sous-traitants, d’enregistrements de numéros de Sécurité sociale et de vidéos d’entretiens biométriques sont désormais mis aux enchères sur le dark web.
CISA a ajouté CVE-2026-28318 à son catalogue de vulnérabilités connues exploitées : un défaut de consommation incontrôlée de ressources dans SolarWinds Serv-U qui permet à des attaquants non authentifiés de faire planter le service avec une seule requête HTTP POST malveillante. Les agences fédérales doivent passer à Serv-U 15.5.4 Hotfix 1 avant le 19 juin 2026. Les entreprises et organisations gouvernementales hors de ce mandat fédéral doivent traiter cela avec la même urgence.
Une faille dans le système High Touch Support de Meta — un outil assisté par IA conçu pour aider les utilisateurs à récupérer l’accès à leur compte — a permis à des attaquants de réinitialiser les mots de passe sur des comptes qu’ils ne possédaient pas, en exploitant l’outil via une injection de prompt.
Le tristement célèbre groupe d'extorsion ShinyHunters a publié l'intégralité du butin de 234 Go volé à l'administrateur de prestations dentaires DentaQuest après que l'entreprise a refusé de payer la rançon exigée. Les fichiers divulgués contiennent noms, adresses, pièces d'identité délivrées par le gouvernement, numéros de Medicaid et détails d'assurance maladie pour environ 2,6 millions de personnes.