Apple : trente failles corrigées 🍏, les comptes invités fragilisent les SaaS 🔑, ClamAV corrige de vieilles failles 🦠
• 3 minutes de lectureBonjour, voici ta veille Cybere du 6 juillet 2026 !
La sécurité se joue autant sur les failles techniques que sur les angles morts organisationnels. Aujourd’hui, des correctifs traqués par l’IA côtoient des accès négligés et de vieilles failles enfouies dans le code open source.
Retrouve les trois articles à la une du jour :
- Apple corrige plus de trente vulnérabilités dans iOS et macOS, dont quatre failles WebKit exploitables via du contenu web
- Les comptes invités atteignent 69 % des comptes SaaS surveillés et exposent un accès privilégié aux attaquants
- ClamAV corrige sept failles, dont certaines vieilles de vingt ans, dans son moteur d’analyse open source
Apple corrige plus de 30 failles dans iOS et macOS
Apple a publié des mises à jour de sécurité pour iOS, macOS et Safari afin de corriger plus de trente vulnérabilités.
Quatre failles dans WebKit, sur près de trente corrigées dans ce moteur, ont été découvertes à l’aide d’outils d’intelligence artificielle comme Anthropic Claude et OpenAI Codex Security. Parmi les correctifs figurent des problèmes de corruption mémoire, d’écriture hors limites et d’utilisation après libération, exploitables via du contenu web malveillant.
Points d'attention
- Les failles
CVE-2026-43707,CVE-2026-43716etCVE-2026-43745ont été identifiées par OpenAI Codex Security, et laCVE-2026-43715(use-after-free) par Anthropic (chercheurs Milad Nasr et Nicholas Carlini, avec Claude). - Les
CVE-2026-43724etCVE-2026-43722(fuite d’état noyau, plantage ou écriture en mémoire noyau) ont été découvertes par Hyunwoo Kim, à l’origine de Dirty Frag. - Aucune exploitation en conditions réelles n’a été signalée à ce jour.
Les comptes invités dopent les risques SaaS
Les comptes invités représentent 69 % des comptes SaaS surveillés en 2025, selon Kaseya.
Ces comptes, souvent oubliés après leur usage, offrent aux attaquants un accès privilégié via des techniques comme le credential stuffing. Les intégrations OAuth et un MFA peu déployé aggravent la surface d’attaque, d’autant que l’énumération de comptes assistée par IA rend ces attaques plus efficaces.
Points d'attention
- Les comptes invités dépassent les utilisateurs internes dans un rapport de deux pour un.
- 56 % des comptes finaux n’ont pas de MFA actif et seules 27 % des organisations l’imposent sur leur environnement SaaS, facilitant le phishing et le vol d’identifiants.
- Les liens de partage externes non révoqués exposent des données sensibles après la collaboration.
ClamAV corrige sept failles, certaines vieilles de vingt ans
ClamAV, le moteur d’analyse antivirus open source maintenu par le groupe Talos de Cisco, a publié les versions 1.5.3 et 1.4.5 corrigeant sept vulnérabilités, ainsi que divers renforcements. Le moteur est très répandu dans les passerelles mail, les contrôles de fichiers téléversés et l’outillage de sécurité des postes.
La plupart des failles se logent dans le code de décompression et d’analyse des exécutables, précisément la partie conçue pour traiter des entrées hostiles. Plusieurs remontent loin dans le code : un débordement d’entier dans le traitement des fichiers Aspack (CVE-2026-20213), une faille dans le dépaqueteur FSG présente depuis 2004 (CVE-2026-20214), et un défaut du dépaqueteur PESpin datant de 2005 (CVE-2026-20217). D’autres concernent l’analyse d’archives (7z, ALZ, InstallShield) et d’images disque DMG.
Points d'attention
- Les failles mènent principalement à des plantages du scanner ou à des débordements mémoire sur fichier piégé, sans exploitation en conditions réelles signalée.
- Une correction vise une condition de course sur les actions de quarantaine (clamscan, clamdscan, clamonacc), signalée par Hiroki Imai de Ricerca Security.
- La version
1.5.3ajoute des correctifs de dépendances Rust et relève la version minimale de CMake à3.17pour réparer certaines compilations Linux.
Autres actus importantes
- L'avenir de la fraude au paiement pourrait être automatisé
- Une entité du gouvernement américain a versé 1 million de dollars à Kairos dans une affaire d'extorsion liée à un vol de données
- Multiples vulnérabilités dans Apache Tomcat (30 juin 2026)
- Les États-Unis lèvent les contrôles à l'exportation sur les modèles d'IA de cybersécurité de pointe d'Anthropic
Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️
À demain pour la prochaine veille 🔐 – Kilian de Cybere