Apple corrige de nouvelles failles 0day exploitées par Pegasus
Apple a publié jeudi des mises à jour de sécurité d’urgence pour iOS, iPadOS, macOS et watchOS afin de corriger deux failles zero-day exploitées par le logiciel espion mercenaire Pegasus de NSO Group. La CVE-2023-41061 est problème de validation dans l’application Wallet permettant d’entraîner une exécution de code arbitraire lors du traitement d’une pièce jointe malveillante. La CVE-2023-41064 est un problème de débordement de mémoire tampon dans le composant Image I/O permettant d’entraîner une exécution de code arbitraire lors du traitement d’une image malveillante. Les deux CVE ont été découvertes grâce à l’aide du Citizen Lab. Depuis le début de l’année, la firme de Cupertino a corrigé 13 vulnérabilités 0day de ce type.
Apache Superset souffre de nouvelles vulnérabilités du type exécution de code à distance
Des correctifs ont été publiés pour combler deux nouvelles vulnérabilités de sécurité dans Apache Superset permettant d’être exploitées par un attaquant pour obtenir une exécution de code à distance sur les systèmes affectés. La mise à jour (version 2.1.1) comble les vulnérabilités CVE-2023-39265 et CVE-2023-37941, permettant de mener des actions malveillantes une fois qu’un attaquant est en mesure de prendre le contrôle de la base de données de métadonnées de Superset. En dehors de ces faiblesses, la dernière version de Superset remédie également à un problème de permission REST API (CVE-2023-36388) qui permettait à des utilisateurs à faible privilège de mener des attaques de type SSRF (server-side request forgery).
Le Royaume-Uni et les États-Unis sanctionnent 11 membres du gang TrickBot basés en Russie
Les gouvernements britannique et américain ont sanctionné jeudi 11 personnes soupçonnées de faire partie du célèbre groupe de cybercriminels TrickBot, basé en Russie. Les cibles des sanctions sont des administrateurs, des gestionnaires et des développeurs soupçonnés d’avoir apporté une aide matérielle aux opérations. À ce jour, deux autres développeurs de TrickBot ont été appréhendés et inculpés aux États-Unis. Alla Witte, une ressortissante lettone, a été condamnée à 32 mois de prison en juin 2023 et yn Russe nommé Vladimir Dunaev est actuellement en détention et attend son procès. Selon la National Crime Agency (NCA) du Royaume-Uni, on estime que le groupe a extorqué au moins 180 millions de dollars aux victimes dans le monde et au moins 27 millions de livres sterling à 149 victimes au Royaume-Uni.
Meta supprime des milliers de comptes impliqués dans des opérations de désinformation menées par la Chine et la Russie
Meta a révélé avoir perturbé deux des plus grandes opérations d’influence secrètes connues dans le monde, menées par la Chine et la Russie, en bloquant des milliers de comptes et de pages sur sa plateforme. Le réseau, qui comprenait 7 704 comptes Facebook, 954 pages, 15 groupes et 15 comptes Instagram, aurait été géré par des “opérateurs géographiquement dispersés” à travers la Chine, publiant des contenus sur la Chine critiquant le gouvernement américain.