Google publie en urgence un patch hors cycle pour Chrome, corrigeant deux Zero-Day activement exploités : un Out-of-Bounds Write dans Skia (CVE-2026-3909) et une faille d’implémentation dans le moteur V8 (CVE-2026-3910), tous deux exploitables à distance via simple visite d’une page malveillante. La CISA ajoute simultanément ces deux CVE à son catalogue KEV, auxquelles s’ajoute une faille d’exécution de code arbitraire dans la plateforme d’automatisation n8n (CVE-2025-68613).
Le CERT-FR publie trois avis ce vendredi : une atteinte à la confidentialité dans Microsoft Office sur Android, iOS et macOS (CVE-2026-26133), une vulnérabilité de nature non précisée dans CPython (CVE-2025-13462), et de multiples failles dans le noyau Linux d’Ubuntu 22.04 LTS et 24.04 LTS.
L’application mobile Quittr, dédiée à la lutte contre la dépendance à la pornographie, a exposé pendant plusieurs mois les données sensibles de plus de 600 000 utilisateurs via une misconfiguration Firebase, dont environ 100 000 profils de mineurs. La brèche avait été signalée dès septembre 2025 sans action corrective.
Enfin, la fondation FIRST publie le bilan de son initiative African Regional Liaison : deux ans de terrain, 1 210 professionnels formés, 33 pays couverts, 70 CSIRTs engagés.
Sources :
- CISA – Adds Two Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/03/13/cisa-adds-two-known-exploited-vulnerabilities-catalog
- CISA – Adds One Known Exploited Vulnerability to Catalog : https://www.cisa.gov/news-events/alerts/2026/03/11/cisa-adds-one-known-exploited-vulnerability-catalog
- CERT-FR – Vulnérabilité dans Microsoft Office : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0294/
- CERT-FR – Vulnérabilité dans Python : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0285/
- CERT-FR – Multiples vulnérabilités dans le noyau Linux d’Ubuntu : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0289/
- 01net – Quittr : fuite de données via misconfiguration Firebase : https://www.01net.com/actualites/cette-application-anti-porno-a-laisse-fuiter-les-secrets-inavouables-de-ses-utilisateurs.html
- Malwarebytes – Google patches two Chrome zero-days under active attack : https://www.malwarebytes.com/blog/news/2026/03/google-patches-two-chrome-zero-days-under-active-attack-update-now
- FIRST – The Trust Builders: FIRST’s African Liaisons : https://www.first.org/blog/20260311-Trust-Builders
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com