PixelSmash frappe FFmpeg 🎥, WhatsApp phishing mondial 💬, Usbliter8 vise les iPhones A12 et A13 📱
• 3 minutes de lectureBonjour, voici ta veille Cybere du 23 juin 2026 !
Du décodeur vidéo à la puce de l’iPhone en passant par WhatsApp, l’actualité du jour rappelle que la menace se loge à tous les étages, du logiciel le plus courant au matériel le plus profond.
Retrouve les trois articles à la une du jour :
- FFmpeg corrige une faille de sévérité élevée exploitable via des fichiers vidéo malveillants
- Une campagne de phishing WhatsApp installe un outil d’accès administrateur à distance
- Une faille BootROM permet d’exécuter du code arbitraire sur certains iPhones
FFmpeg corrige une faille de sévérité élevée dans son décodeur vidéo
La CVE-2026-8461, surnommée PixelSmash, est une vulnérabilité de débordement de tas dans le décodeur MagicYUV d’FFmpeg, notée 8.8 (sévérité élevée).
La faille peut être exploitée via des fichiers vidéo malveillants en format AVI, MKV ou MOV. Elle permet, sous conditions, l’exécution de code à distance sur les serveurs Jellyfin et Nextcloud (avec aperçu vidéo activé), et provoque des refus de service sur Kodi, Emby, PhotoPrism et OBS Studio. FFmpeg a publié le correctif en version 8.1.2 le 17 juin.
Points d'attention
- L’exploitation pour RCE nécessite que la protection ASLR soit désactivée ou chaînée avec une autre faille.
- Toute application utilisant libavcodec, la bibliothèque cœur d’FFmpeg, est potentiellement vulnérable, ce qui en fait un problème de chaîne d’approvisionnement.
- Plex atténue le risque en utilisant une version FFmpeg personnalisée avec décodeurs désactivés.
Une campagne de phishing WhatsApp mondiale compromet des PC
Une campagne malveillante cible les utilisateurs de WhatsApp via des messages contenant des fichiers VBScript déguisés en documents professionnels, provenant de comptes compromis.
L’infection débute par le téléchargement d’un script obfusqué qui en récupère d’autres, lesquels désactivent les protections UAC, puis installent discrètement le logiciel ManageEngine Endpoint Central, un outil de gestion légitime détourné par les attaquants pour obtenir un accès administrateur à distance. Kaspersky a détecté cette campagne en Amérique latine, Asie, Europe et Océanie, sans attribution définitive à un groupe spécifique.
Points d'attention
- Les fichiers malveillants imitent des rapports financiers et relevés de compte localisés en plusieurs langues.
- Sur WhatsApp Desktop, le script peut s’exécuter directement via
wscript.exe, alors qu’il doit d’abord être téléchargé sur WhatsApp Web : le client Desktop est le vecteur le plus à risque. - Kaspersky observe des indices (recoupements d’IP, traces de langue chinoise) suggérant des liens avec ValleyRAT et Gh0st RAT, sans certitude suffisante pour une attribution.
Usbliter8 : faille matérielle non corrigeable sur iPhones A12 et A13
La société de recherche Paradigm Shift a divulgué Usbliter8, une faille BootROM non corrigeable qui affecte les iPhones dotés de puces A12 et A13, ainsi que les Apple Watch S4 et S5, sans solution logicielle possible.
L’exploit combine un défaut du contrôleur USB et une faiblesse de configuration du micrologiciel. En accédant physiquement par USB à l’appareil, un attaquant peut exécuter du code arbitraire au niveau système et contourner les vérifications de signature Apple, avant même le chargement du système d’exploitation. Apple précise de son côté que les appareils A14/S6 et ultérieurs (ainsi que tous les Mac) ne sont pas concernés, et que l’exploit ne permet pas d’accéder aux données utilisateur.
Points d'attention
- L’accès nécessite une connexion USB physique directe, limitant le risque d’exploitation à distance. Une preuve de concepte (PoC) a été publié, utile surtout aux éditeurs de solutions forensiques.
- Le Secure Enclave n’est pas directement compromis, mais les chercheurs notent que l’exploit ouvre de nouvelles voies d’attaque vers lui.
- Les appareils avec puces A14/S6 et versions ultérieures ne sont pas vulnérables à cette faille.
Autres actus importantes
- Google fixe une date limite au 30 septembre pour la vérification des développeurs Android dans quatre pays
- Des chercheurs détaillent les failles DifyTap dans Dify pouvant exposer les discussions IA entre locataires
- Microsoft corrige une faille dans AutoGen Studio permettant l'exécution de code
- Une faille ancienne dans Squid Proxy, 'Squidbleed', peut exposer les données des utilisateurs
Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️
À demain pour la prochaine veille 🔐 – Kilian de Cybere