Chrome zero-day corrigée 🚨, Veeam patché en urgence 🔐, faille OpenSSL trouvée par l’IA 🤖
• 3 minutes de lectureBonjour, voici ta veille Cybere du 10 juin 2026 !
L’IA continue de redessiner la chasse aux failles : après FFmpeg, c’est au tour d’OpenSSL de corriger une vulnérabilité débusquée par un chercheur épaulé par Claude. Au menu également, un zero-day Chrome déjà exploité et une RCE critique chez Veeam.
Retrouve les trois articles à la une du jour :
- Google corrige une zero-day active dans Chrome permettant l’exécution de code arbitraire.
- Veeam comble une vulnérabilité critique dans Backup & Replication exploitable par un utilisateur authentifié.
- OpenSSL corrige une faille use-after-free dans PKCS#7 ouvrant la porte à du code distant.
Google corrige une zero-day actif dans Chrome
Google a publié un correctif pour 74 vulnérabilités dans Chrome, dont une zero-day de sévérité élevée exploité en conditions réelles.
La faille CVE-2026-11645 (CVSS 8.8) est une vulnérabilité de lecture et écriture hors limites dans V8, le moteur JavaScript de Chrome. Elle permet à un attaquant distant d'exécuter du code arbitraire au sein du sandbox du navigateur via une page HTML malveillante. La mise à jour, disponible en Chrome 149.0.7827.102/.103 sur Windows et macOS et 149.0.7827.102 sur Linux, se déploie progressivement auprès des utilisateurs.
Points d'attention
CVE-2026-11645marque la cinquième zero-day corrigée par Google en 2026, aux côtés deCVE-2026-2441,CVE-2026-3909,CVE-2026-3910etCVE-2026-5281.- La faille a été signalée le 27 avril 2026 par un chercheur anonyme récompensé de 55 000 dollars pour sa divulgation responsable.
- Google maintient la restriction d'accès aux détails techniques jusqu'à ce qu'une majorité d'utilisateurs soient mis à jour.
Veeam corrige une faille critique d'exécution de code distant
Veeam a publié des correctifs pour traiter la CVE-2026-44963, une vulnérabilité critique affectant Backup & Replication permettant l'exécution de code à distance par un utilisateur de domaine authentifié.
La faille présente un score CVSS de 9.4 et touche Veeam Backup & Replication version 12.3.2.4465 et les versions antérieures de la branche 12. Le correctif est disponible dans la version 12.3.2.4854. Les versions 13.x ne sont pas impactées grâce à des changements architecturaux. Le chercheur Sina Kheirkhah de watchTowr a découvert et signalé cette vulnérabilité de manière responsable.
Points d'attention
- Mise à jour immédiate conseillée pour les versions
12affectées par cette faille critique. - Les versions
13.xbénéficient d'une protection renforcée suite aux modifications architecturales introduites. - L'historique d'exploitation des failles Veeam par des groupes de rançongiciels justifie une vigilance accrue.
OpenSSL corrige une faille d'exécution de code de sévérité élevée
OpenSSL a publié des correctifs pour 18 vulnérabilités, dont la CVE-2026-45447, une faille de sévérité élevée permettant l'exécution de code à distance. Cette vulnérabilité est un bug de type use-after-free dans la vérification PKCS#7, pouvant être déclenchée par un message S/MIME ou PKCS#7 spécialement conçu.
L'exploitation peut entraîner une corruption de tas, des plantages de processus et potentiellement l'exécution de code à distance. Découverte par un chercheur californien en collaboration avec l'IA Claude et Anthropic Research, cette faille souligne l'émergence des vulnérabilités détectées par des outils d'IA. Les autres failles corrigées vont de sévérité modérée à faible et permettraient le déchiffrement, l'usurpation d'identité numérique ou des attaques par déni de service.
Points d'attention
CVE-2026-45447est la deuxième faille de sévérité élevée d'OpenSSL en 2026, alors que l'année précédente n'en avait connu qu'une seule.- L'exploitation nécessite un message PKCS#7 ou S/MIME malveillant pendant la vérification de signature.
- Alex Gaynor (Anthropic) a signalé une demi-douzaine de nouvelles vulnérabilités, renforçant le rôle de l'IA dans la détection de failles.
Autres actus importantes
- Vulnérabilité LiteLLM activement exploitée, alerte la CISA (CVE-2026-42271)
- Une faille WinRAR exploitée par des groupes pro-russes pour déployer des voleurs de données en Ukraine
- Apple Intelligence peut désormais remplacer les mots de passe faibles sans intervention de l'utilisateur
- Une faille Microsoft Exchange permet aux attaquants d’usurper n’importe quelle adresse e-mail
Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️
À demain pour la prochaine veille 🔐 – Kilian de Cybere