GitLab vient de se mettre à jour apportent un grand nombre de nouvelles fonctionnalités. Il s'agit principalement de GitLab DUO. C'est un service offert sur les versions SaaS et auto-hébergée à partir de la version Premium (en plus de deux nouvelles formules dédiées : Duo Pro et Duo Entreprise). Elles permettent de faire intervenir l'IA générative pour aider au développement (écriture, analyse et revue de code). Des outils pour un contrôle plus fin des droits pour les jetons et l'amélioration des espaces de noms Kubernetes sont également inclus.
Le runner se met par ailleurs à jour pour suivre (changement disponible ici) ainsi que l'outil en ligne de commande (changements ici).
Mozilla vient de mettre à jour les trois versions actuellement supportées de Firefox : 138.0.4, ESR 128.10.1 et ESR 115.23.1. Cette nouvelle mise à jour permet de corriger deux failles vulnérabilités critiques dans le navigateur : un dépassement mémoire en lecture ou écriture via l'objet JavaScript Promise (CVE-2025-4918) et un dépassement mémoire en lecture ou écriture via la confusion de la taille d'index de tableau sur un objet JavaScript (CVE-2025-4919).
Ces vulnérabilités ont été découvertes durant l'édition Pwn2Own de Berlin.
Microsoft vient d'annoncer que WSL est disponible sur GitHub dans un nouveau dépôt dédié : https://github.com/microsoft/WSL (licence MIT). Microsoft espère ainsi la participation et retour de la communauté pour l'améliorer. Les sources du noyau utilisé pour la version 2 (WSL2) sont également disponibles : https://github.com/microsoft/WSL2-Linux-Kernel (licence GPL-2.0 WITH Linux-syscall-note).
Vincent VILLETTE, actuellement maître des requêtes au Conseil d’État et actuel directeur financier et juridique du Centre national du cinéma et de l’image animée (CNC), est nommé secrétaire général à partir du 2 juin 2025. Il remplacera Louis DUTHEILLET DE LAMOTHE occupant le jour à ce poste.
Google a publié mercredi 15 mai une nouvelle version corrigeant notamment la vulnérabilité : CVE-2025-4664. Elle permet à un attaquant de divulguer des informations en utilisant les en-têtes HTTP. Le chercheur Vsevolod Kokorin qui a découvert ce souci, indique, par exemple, un usage avec les paramètres d'URL qui peuvent contenir des informations sensibles. La mise à jour, 136.0.7103.113 pour Windows/Linux and 136.0.7103.114 pour macOS est en cours de déploiement.
Une faille (CVE-2025-4802) affecte la bibliothèque GNU C (glibc), touchant les binaires statiquement liés avec les privilèges setuid ou setgid qui appellent la fonction dlopen(). Dans ces cas, la variable d’environnement LD_LIBRARY_PATH, normalement ignorée pour des raisons de sécurité, peut être prise en compte de manière incorrecte, permettant le chargement d’une bibliothèque malveillante contrôlée par un attaquant local.
Bien qu’aucun binaire setuid statique vulnérable n’ait été identifié à ce jour, la présence de tels binaires personnalisés n’est pas exclue. La faille, introduite en version 2.27 (2017) et corrigée en 2.39 (2023), a été démontrée via un test sur Rocky Linux 9.5. Elle concerne aussi potentiellement les binaires générés en Go statiquement liés avec glibc.
Cette extension gratuite permettant de rajouter de nouvelles fonctionnalités sur le thème Elementor est vulnérable en version inférieure à 1.5.5 : CVE-2025-30911. Il est possible d'installer de façon arbitraire des thèmes et extensions dès que l'attaquant possède un compte sur le site. La faille réside dans la fonction install_requirements qui ne vérifie pas les permissions de l'utilisateur. Des preuves de concept existent : https://github.com/Nxploited/CVE-2025-30911.
Cette librairie permettant de mettre en place du SSO (Single Sign On) dans des applications Node.js via SAML 2.0 est vulnérable : CVE-2025-47949. Il est possible à un attaquant de forger des réponses SAML pour usurper n'importe quel autre utilisateur. Le seul pré-requis est d'avoir un document XML signé initialement par le fournisseur d'authentification. La version 2.10.0 corrige la faille.
Pwn2Own Berlin 2025 est une compétition de hacking organisée par Trend Micro’s Zero Day Initiative (ZDI) qui s’est tenue du 15 au 17 mai 2025 lors de la conférence OffensiveCon à Berlin, en Allemagne. Cet événement, marquant la première édition à Berlin, a introduit pour la première fois une catégorie dédiée à l’Intelligence Artificielle (IA), en plus des catégories classiques telles que navigateurs web, systèmes d’exploitation, serveurs, virtualisation, applications d’entreprise, et automobiles.
L'événement permet aux participants d'obtenir des prix si des vulnérabilités sont découvertes sur les produits participants. Sur les deux jours passés, plus de vingt failles ont été trouvées concernant notamment : SharePoint, ESXi, VirtualBox, RHEL, et Firefox. La dernière journée concernera Windows 11, NVIDIA, Firefox, ESXi et VMware Workstation.
L'événement sera en ligne et en direct. Aucun enregistrement préalable est nécessaire pour le suivre.
Le Symposium sur la Sécurité des Technologies de l'Information et des Communications 2025 se déroulera du 4 au 6 juin 2025.
Quelques exemples de conférences au programme :
Mercredi 4 juin :
Jeudi 5 juin :
Vendredi 6 juin :