Agrégateur de flux

Des soirées de rêve au cœur du patrimoine : ce weekend partout en France ! La Nuit des Châteaux revient pour sa 7e édition qui aura lieu ce weekend : vendredi 17, samedi 18 et dimanche 19 octobre !
Cet événement européen, imaginé par Dartagnans en 2019, vise à sensibiliser le grand public à la préservation du patrimoine à travers des expériences nocturnes inoubliables : visites aux flambeaux, dîners aux chandelles, illuminations, spectacles vivants, concerts ou encore Cluedo grandeur nature.
La Nuit des (...)

- Communiqué de presse / château

Des sports peu connus aux retraites littéraires, des hôtels réinventés aux séjours à la ferme : les tendances de 2026 revisitent les escapades traditionnelles.
Expedia Group présente Horizons 2026 : les tendances de voyage™, son rapport annuel qui met en lumière les évolutions du comportement des voyageurs en 2026, en s'appuyant sur des données exclusives et l'analyse des réponses de 24 000 voyageurs à travers le monde*. Des destinations de l'année aux hôtels réinventés et aux retraites littéraires, en (...)

- Communiqué de presse / expedia, Abritel, Hotels.com, tendance, voyage

Campanile poursuit la modernisation de son réseau avec un ambitieux programme de rénovation, notamment à Montpellier, et l'introduction de deux nouveaux labels : Campanile PRIME et Campanile NATURE. La marque historique de Louvre Hotels Group, 2ᵉ groupe hôtelier en France et en Europe, souhaite ainsi valoriser ses différentes typologies d'établissements Campanile et réaffirmer son positionnement fondé sur l'authenticité et le partage de bons moments. Un vaste plan de transformation déployé à l'échelle (...)

- Communiqué de presse / Louvre Hôtels, Campanile, Montpellier

Points à retenir : Selon une étude menée par l'IFOP pour le compte d'Airbnb, 3 Français sur 4 prennent en compte la gastronomie locale dans leur choix de destination. Les régions Bretagne, Occitanie et Auvergne-Rhône-Alpes se placent dans le top 3 des destinations gastronomiques préférées des Français. Véritable vecteur de dynamisme économique local, Airbnb encourage le développement du tourisme gastronomique avec plus de 300 expériences culinaires disponibles sur le territoire.
Alors que la (...)

- Communiqué de presse / Airbnb, gastronomie

Un an après son ouverture, l'hôtel confirme son attractivité auprès des voyageurs et son ancrage dans la vie locale marseillaise.
Un an après son inauguration, easyHotel Marseille Euromed s'est déjà imposé comme une adresse incontournable de la cité phocéenne. L'établissement attire aussi bien les voyageurs d'affaires que les visiteurs loisirs, séduits par un positionnement qui combine accessibilité, modernité et engagement environnemental. En nouant des partenariats avec des acteurs locaux et en (...)

- Communiqué de presse / easyHotel , Marseille, anniversaire

Le pays est le leader sud-américain du tourisme côtier durable, avec 50 plages et 10 marinas reconnues pour leurs normes environnementales élevées.
Le Brésil a franchi une nouvelle étape au cours de la saison 2025/2026 du programme Pavillon Bleu, en obtenant un total de 60 certifications — soit 11 de plus que l'année précédente —, réparties entre 50 plages et 10 ports de plaisance à travers le pays. Cette avancée confirme son leadership régional en matière de certifications environnementales pour les (...)

- Communiqué de presse / Brésil, Pavillon Bleu, plage

Après 738 jours d'attente, les 20 derniers otages vivants sont rentrés chez eux. Pour Israël, c'est le jour d'après qui commence enfin.
L'Office National Israélien du Tourisme (ONIT) en France salue avec une profonde émotion ce moment historique pour le peuple israélien et pour le monde entier. Ce lundi 13 octobre restera gravé dans les mémoires comme le jour où la lumière est revenue, où les familles se sont retrouvées, où l'espoir a repris ses droits.
Sur la Place des Otages de Tel Aviv, des milliers de (...)

- Communiqué de presse / Israël, tourisme

Welcome to the "end of support for Windows 10" edition of our monthly overview of Microsoft security updates for Windows. Microsoft has released the last official security update for Windows 10 and also updates for Windows 11 and other company products, including Microsoft Office.

If you do run Windows 10, you may want to check out the options that you have. In short, best option for most users is probably to subscribe to ESU to get another year of support.

Microsoft Windows Security Updates: October 2025

You may download the following Excel spreadsheet to get a list of released updates. Click on the following link to download the archive to the local device: Windows October 2025 security updates

Executive Summary

• Microsoft released a total of 175 security updates for various Microsoft products and 21 security update for non-Microsoft issues (e.g. Chromium).
• Windows clients with issues:
  • Windows 10: none
  • Windows 11: 24H2 and 25H2
• Windows Server clients with issues:
  • Windows Server 2008

Product overview

Each supported version of Windows and their critical vulnerabilities are listed below.

• Windows 10 version 22H2: 97 vulnerabilities, 2 critical, 95 important
  • MITRE CVE-2016-9535: LibTIFF Heap Buffer Overflow Vulnerability -- CVE-2016-9535
  • Plus Microsoft Graphics Component Elevation of Privilege Vulnerability -- CVE-2025-49708
• Windows 11 version 23H2: 107 vulnerabilities, 2 critical, 105 important
  • Same as Windows 10 version 22H2.
• Windows 11 version 24H2: 124 vulnerabilities, 2 critical, 121 important, and 1 moderate
  • Same as Windows 10 version 22H2.
• Windows 11 version 25H2: 116 vulnerabilities, 2 critical, 114 important
  • Same as Windows 10 version 22H2.

Windows Server products

• Windows Server 2008 R2 (extended support only): 37 vulnerabilities: 1 critical,  36 important
  • MITRE CVE-2016-9535: LibTIFF Heap Buffer Overflow Vulnerability -- CVE-2016-9535
• Windows Server 2016: 73 vulnerabilities: 2 critical, 71 important
  • MITRE CVE-2016-9535: LibTIFF Heap Buffer Overflow Vulnerability -- CVE-2016-9535
  • Windows Server Update Service (WSUS) Remote Code Execution Vulnerability -- CVE-2025-59287
• Windows Server 2019: 95 vulnerabilities: 3 critical, 92 important
  • Same as Windows Server 2016.
  • Plus Microsoft Graphics Component Elevation of Privilege Vulnerability -- CVE-2025-49708
• Windows Server 2022: 103 vulnerabilities: 3 critical, 99 important, and 1 moderate
  • Same as Windows Server 2019.
• Windows Server 2025:  130 vulnerabilities: 3 critical, 126 important, and 1 moderate
  • Same as Windows Server 2019.

Windows Security Updates

Windows 10 version 22H2

• Support Page: KB5066791

Updates and improvements:

• Fixed an SMB v1 connection issue that might prevent connecting to shared files or folders.
• Fixed a Windows Autopilot issue that could prevent the OOBE from loading.
• Removes the ltmdm64.sys driver. Fax modem hardware that depends on the driver won't work anymore.
• Fixed a Powershell Remoting and WinRM issue that saw commands time out after 600 seconds.

Windows 11 version 23H2

• Support Page: KB5066793

Updates and improvements:

• Fixed an issue with PowerShell Remoting and WinRM that had commands time out after 10 minutes.
• A few non-critical fixes. See this overview.

Windows 11 version 24H2

• Support page: KB5066835

Updates and improvements:

• Removes the ltmdm64.sys driver. Fax modem hardware that depends on the driver won't work anymore.
• Fixed an issue with PowerShell Remoting and WinRM that had commands time out after 10 minutes.
• Fixed an issue that caused the print preview screen to stop responding in Chromium-based browsers.
• Adds the new command line text editor Edit, which you can run by launching Edit from the Terminal app.
• Gradual rollout of various new features continues. Some limited to Copilot+ PCs.
• Includes several non-security fixes for various issues.
• The WSUS issue is fixed.
• You can check the full preview list here.

Windows 11 version 25H2

• Support page: KB5066835

Updates and improvements:

• Same as Windows 11, version 24H2
• You can check out the full list here.

Known Issues

Windows 11 version 24H2 and 25H2

• Problems playing protected content using some Blu-Ray, DVD, or Digital TV apps. Some content may not play in certain apps, playback may be interrupted, copyright messages may show, playback may stop, or show black screens.
  • Partially resolved according to Microsoft, stating that it has been addressed in the September 2025 preview update (and also this update)

Security advisories and updates

• ADV 990001 -- Latest Servicing Stack Updates

Microsoft Office Updates

You find Office update information here. How to download and install the October 2025 security updates

Here is how you install the update immediately on a system:

1. Open the Start menu, type Windows Update, and select the result.
2. Activate the "check for updates" button. This runs a manual check for updates.
3. Activate the "download & install all" button, if the update is not downloaded automatically.

Direct update downloads

Below are resource pages with direct download links, if you prefer to download the updates to install them manually.

Windows 10 version 22H2

• KB5066791 -- 2025-10 Cumulative Update for Windows 10 Version 22H2

Windows 11 version 22H2

• KB5066793 -- 2025-10 Cumulative Update for Windows 11 version 22H2

Windows 11 version 23H2

• KB5066835 -- 2025-10 Cumulative Update for Windows 11 version 23H2

Windows 11 version 24H2

• KB5066835 -- 2025-10 Cumulative Update for Windows 11 version 24H2

Additional resources

• October 2025 Security Updates release notes
• List of software updates for Microsoft products
• List of the latest Windows Updates and Services Packs
• Security Updates Guide
• Microsoft Update Catalog site
• Our in-depth Windows update guide
• How to install optional updates on Windows 10
• Windows 11 25H2 Update History
• Windows 11 24H2 Update History
• Windows 11 23H2 Update History
• Windows 10 Update History

Thank you for being a Ghacks reader. The post Microsoft Windows Security Updates for October 2025 are now available appeared first on gHacks Technology News.

Un demi-siècle d'émotions, de passion et de dévouement En 1975, sur la côte est de l'île Maurice, le Constance Belle Mare Plage ouvrait ses portes avec seulement dix bungalows en location. Dès ses débuts, une ambition claire guidait le lieu : offrir un luxe sincère, en harmonie avec la nature et fondé sur des relations humaines authentiques.
Cinquante ans plus tard, cette promesse s'est transformée en une histoire qui rayonne à travers tout l'océan Indien. Aujourd'hui, Constance Hotels & Resorts (...)

- Communiqué de presse / Constance, anniversaire

Adagio, leader européen de l'appart'hôtellerie, annonce la nomination de Marc Lemarchand en tant que Directeur Administratif et Financier, membre du Comité de Direction. Cette nomination d'un professionnel reconnu pour son expertise dans la structuration des processus financiers et dans le pilotage de la performance d'entreprises organisées en réseau s'inscrit dans une volonté de renforcer la contribution de la fonction Finance d'Adagio à la mise en œuvre de « FIRST 2030 ».
Diplômé de l'ESCP, Marc (...)

- Communiqué de presse / Adagio, nomination

Les données de Lightspeed montrent une forte adoption à Paris, où près d'une transaction sur cinq inclut désormais un pourboire. Avec des montants allant jusqu'à 37 € en gastronomie contre 4 € en casual dining, l'étude de Lightspeed illustre comment les usages varient selon les segments. Une étude basée sur des millions de transactions montre une progression importante du pourboire digital, avec Paris en précurseur et des modèles contrastés selon les pays.
Une analyse récente des données issues de (...)

- Communiqué de presse / Lightspeed, étude, pourboire

Il y a des bugs qu’on corrige en urgence. Et puis il y a GPU.zip, cette faille que TOUS les fabricants de GPU connaissent depuis mars 2023 et que personne n’a jamais voulu fixer.

Et 2 ans et demi plus tard, des chercheurs viennent de prouver qu’elle permettait de voler nos codes 2FA sous Android en moins de 30 secondes !!

Et devinez quoi ?

Y’a toujours pas de patch !

L’histoire commence donc en septembre 2023. Des chercheurs de l’Université du Texas, Carnegie Mellon, et l’Université de Washington publient GPU.zip , une attaque par canal auxiliaire qui exploite la compression graphique hardware des GPU. Le principe c’est qu’en mesurant le temps de rendu de certaines opérations graphiques, on peut déduire la couleur des pixels affichés à l’écran. Pixel par pixel. Un peu comme prendre une capture d’écran, mais sans permission, bien sûr !

Tous les fabricants de GPU sont donc prévenu dès mars 2023. AMD, Apple, Arm, Intel, Nvidia, Qualcomm. Mais aucun patch n’a pointé le bout de son nez. La position officielle des fabricants de GPU étant que “C’est au software de gérer ça”.

Les navigateurs web colmatent alors la brèche en limitant les iframes cross-origin, mais la faille hardware elle-même n’est jamais corrigée. Trop coûteux. Trop compliqué. Pas leur problème…

Maintenant on fait avance rapide en octobre 2025. Une équipe de 7 chercheurs (UC Berkeley, Carnegie Mellon, Université de Washington) sort Pixnapping , une attaque qui ressuscite GPU.zip sur Android. Le papier sera d’ailleurs présenté à la 32nd ACM Conference on Computer and Communications Security qui a lieue cette semaine à Taipei. Alan Linghao Wang, Ricardo Paccagnella et leurs collègues on réalisé une démo où on voit une application Android malveillante voler des codes 2FA, des messages privés, ou n’importe quelle donnée affichée à l’écran, sans demander la moindre permission système.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un lien vers la vidéo.

L’attaque fonctionne en trois étapes. D’abord, l’app malveillante invoque des APIs Android publiques (activities, intents, tasks) pour déclencher l’affichage de données sensibles dans l’app cible. Par exemple, forcer Google Authenticator à afficher un code 2FA. Ensuite, elle dessine des fenêtres transparentes par-dessus ces données et effectue des opérations graphiques sur des pixels individuels. Enfin, elle mesure le temps de rendu de chaque frame pour reconstruire les pixels un par un via le canal auxiliaire GPU.zip. C’est lent (entre 0,6 et 2,1 pixels par seconde) mais c’est suffisant.

Les chercheurs ont testé l’attaque sur plusieurs modèles Google Pixel et Samsung Galaxy S25 et sur 100 tentatives de vol de codes 2FA depuis Google Authenticator, le Pixel 6 se montre particulièrement vulnérable avec un taux de réussite des attaques de 73% en seulement 14,3 secondes en moyenne. Le Pixel 7 offre une meilleure résistance avec 53% de réussite en 25,8 secondes, tandis que le Pixel 8 fait encore mieux en limitant les attaques réussies à 29% en 24,9 secondes. Curieusement, le Pixel 9 régresse et remonte à 53% de vulnérabilité en 25,3 secondes. Par contre, le Galaxy S25 se distingue complètement en bloquant systématiquement toutes les tentatives d’attaque grâce au bruit présent dans les mesures qui empêche toute exploitation.

Les vieux appareils sont donc plus vulnérables que les nouveaux, ce qui est probablement lié aux premières générations de GPU Tensor de Google, moins optimisées, plus prévisibles.

Google attribue une CVE à cette attaque (CVE-2025-48561), classée “High Severity” et un patch partiel est publié dans le bulletin de sécurité Android de septembre. Mais les chercheurs ont rapidement trouvé un contournement, qui est actuellement sous embargo. Un second patch est donc prévu pour décembre. Entre-temps, Google affirme qu’aucune exploitation “in-the-wild” n’a été détectée pour l’instant.

Le modèle de sécurité Android repose sur l’idée qu’une app sans permissions ne peut rien faire de dangereux. Pixnapping utilise uniquement des APIs publiques légitimes donc y’a rien de suspect dans le manifest, qui déclencherait une alerte Play Protect… Et pourtant, elle peut voler des codes 2FA.

Les recommandations de sécurité sont donc les mêmes depuis 2023 à savoir scruter attentivement les apps installées, privilégier les clés de sécurité hardware pour la 2FA (YubiKey, Titan), surveiller les comportements anormaux.

Après, je pense pas que beaucoup d’utilisateurs d’Android vont investir dans une clé hardware à 50 balles parce que Nvidia a la flemme de patcher son GPU.

Bienvenue dans la réalité de la sécurité mobile les amis.

Source

Mozilla releases Firefox 144.0 and several Firefox ESR versions today. The new releases introduce new features, improve other features, and fix some security issues as well. As such, most users of the browser may want to upgrade their version of Firefox to the latest as soon as possible.

The big new feature of the release is the long-awaited profile management update. Profiles help users distinguish between different tasks or personas in Firefox, similarly to how Chromium-based browsers offer the functionality. Firefox did support it for ages, but this update should improve the accessibility of the feature.

Firefox 144: the major changes and new features Profile Management update

Mozilla has launched improvements to Firefox's built-in profile management functionality. New profiles can now be created easily and you can switch between them when you start Firefox.

The existing functionality remains at the same time. Launch about:profiles to see a list of all profiles and their folders on the system. Here you may also create new profiles, set a new default profile or launch a profile separately.

Veteran users will be pleased to hear that the parameters that launch different profiles in Firefox remain as is as well.

Tab Group improvements

Mozilla continues its work on Firefox's relatively new tab grouping feature. The two main changes are a) that the active tab of a tab group stays visible when you collapse a group and b) that you can now drag another tab onto a collapsed group without it expanding automatically.

Other changes and fixes

• Firefox users may now see a "Search Image with Google Lens" option when they right-click on images in the browser. It offers a quick shortcut to searching Google for information about that particular image.
• Firefox on the desktop includes Perplexity now as a new AI-driven search engine.
• Firefox Translator adds support for the three languages Azerbaijani, Bangla, and Icelandic.
• More than a dozen languages of Firefox Translator have improved translation quality (Arabic, Bulgarian, Catalan, Chinese (Simplified), Czech, Dutch, Estonian, Finnish, French, German, Hungarian, Italian, Japanese, Portuguese, Persian, Spanish, Ukrainian)
• When opening a link on Windows from another app, Firefox will only use its window on the current desktop to open it, or open a new window if needed.

Developer changes

• Support for the deprecated MathML STIXGeneral font has now been removed.
• CSS features for view transitions in single-page applications (SPAs) are now supported.
• The Map.prototype.getOrInsert(), Map.prototype.getOrInsertComputed(), WeakMap.prototype.getOrInsert(), and WeakMap.prototype.getOrInsertComputed() instance methods are now supported.
• The lock() and unlock() methods of the ScreenOrientation interface are now supported for Android and for Windows tablets.
• The View Transition API is now supported for SPAs (single-page applications).
• The CSSStyleProperties interface of the CSS Object Model (CSSOM) is now implemented.
• The moveBefore() method is now supported on the Element, DocumentFragment and Document interfaces.
• Cross-origin <iframe>s now require either user interaction (sticky activation) or explicit permission to redirect the top-level page using window.top.location.
• RTCDataChannel instances are now transferrable objects, and hence can be passed to workers.
• The closing event and the onclosing() event handler are now supported on the RTCDataChannel interface.
• The getUserMedia() and getDisplayMedia() methods of the MediaDevices interface now support the resizeMode constraint.

Enterprise changes

• GenerativeAI policy has been added. This allows administrators to control features that use Generative AI.
• VisualSearchEnabled policy is now available to disable Google Lens.
• Preferences policy supports security.webauthn.always_allow_direct_attestation now.
• Fixed print options showing up in Firefox when printing was disabled.
• Fixed a bug in Windows Kerberos authentication with extended protection that did not work with a SHA384 SSL certificate.

Security updates / fixes

Mozilla fixed a total of 14 different security issues or potential issues in Firefox 144. The aggregate severity rating is high. No mention of exploits in the wild.

Firefox 144.0 download and update

Firefox installations should pick up the update automatically. Desktop users may speed up the installation by selecting Menu > Help > About Firefox.

This should run a check for updates and will download any update that is found automatically.

Manual downloads are also provided on Mozilla's official website for desktop operating systems.

• Firefox Beta download
• Nightly download
• Firefox ESR download

Outlook

Firefox ESR 115 continues to be supported until at least January 2026. This coincides with the release of Firefox 148 and Firefox ESR 140.8. Mozilla may extend support once again, but the decision has not been made yet.

Additional information / resources

• Firefox 144 release notes
• Firefox 115.29.0 ESR release notes
• Firefox 140.4.0 ESR release notes
• Firefox 144 for Developers
• Firefox 144 for Enterprise
• Firefox Security Advisories
• Firefox Release Schedule

Thank you for being a Ghacks reader. The post Firefox 144.0 is out with new profile management, tab group improvements, and security fixes appeared first on gHacks Technology News.

Cette année, avec Nano Banana, ChatGPT, Sora, Seedream et j’en passe, on est quand même passé de “Je cherche une image sur le net” à “Tiens, et si je demandais à Google (ou un autre) de créer l’image que je cherche…”. Comme ça, on ne perd plus de temps à en regarder plein pour trouver la meilleure, et surtout on ne se pose plus la question de est-ce que c’est une image sous copyright ? Ou une image mise en ligne sur un site Creative Commons dont la licence libre sera retirée dans quelques années par un cabinet d’avocat véreux spécialisé dans le copyright trolling… et qui viendra ensuite vous réclamer du pognon .

Et tout ce délire de génération d’images ne risque pas de s’arranger, notamment avec Nano Banana (c’est le petit nom de Gemini 2.5 Flash Image, le modèle de génération d’images de Google) que Google vient d’intégrer dans certains de ses services. En effet, très bientôt vous allez pouvoir modifier, remixer, transformer des images directement depuis la recherche Google (AI Mode), Lens, ou directement vos photos !

Vous prenez une photo avec Lens, ensuite, hop, vous ajoutez un petit prompt texte, et l’IA transformera l’image selon vos désirs. Vous pouvez aussi chercher un truc dans Google Search, puis modifier visuellement le résultat à la volée si ça vous amuse.

Vous allez par exemple chercher un canapé bleu marine sur Google Images, tomber sur la photo de vos rêves sauf que le canapé est rouge brique et hop, l’application le passera en bleu marine directement dans les résultats de recherche. Vous pouvez même mixer deux images pour créer quelque chose de nouveau…

C’est chouette techniquement mais philosophiquement, c’est un délire car la frontière entre le réel et le généré va devenir encore plus floue. On va très vite perdre la notion de ce qui existe vraiment car chaque image pourra être un remix à la demande et au final personne ne saura plus ce qui vient d’un vrai appareil photo ou d’un algo.

C’est une nouvelle réalité qui arrive, où le faux et le vrai se mélangent, faisant disparaitre nos repères.

Au niveau de Google Photos, c’est encore plus inquiétant car on va pouvoir fusionner des images perso, créer des collages, ajouter des éléments de certaines photos dans d’autres photos…etc. On va donc pouvoir se créer des souvenirs qui n’ont jamais existé. Votre gamin n’était pas là pour la photo de famille ? Hop, on le rajoute. Un coucher de soleil moyen-bof sur une photo de vacances ? Hop, on le rend épique.

Nos enfants vont donc grandir avec des albums photo mi-réels mi-générés par IA et au bout de quelques années, plus personne ne se souviendra de si c’était vrai ou pas.

Bref, comme je le disais, technologiquement, c’est impressionnant mais on se demande quand même où se trouve la limite entre retouche créative et falsification de notre mémoire ?

J’en sais quelque chose, la mémoire humaine est déjà très fragile. Elle se réécrit à chaque souvenir et même à chaque évocation d’un souvenir…. Alors si en plus on lui file des photos modifiées pour coller à une réalité qu’on fantasme, j’imagine qu’on va tous finir par croire à des événements qui n’ont jamais eu lieu, surtout si ce sont des modifications subtiles, crédibles.

Bref, ces nouveautés liées à Nano Banana sont déployées uniquement aux États-Unis et en Inde pour le moment, ce qui vous laisse un peu de temps pour réfléchir à tout ça et vous préparer à sauter ou pas dans ce délire de réécriture de vos propres souvenirs.

A vous de voir !

Source

La commande sudo que tous les linuxiens connaissent a plus de 40 ans, tout autant d’années d’audits de sécurité, des millions de lignes de code scrutées par des milliers de développeurs au fil des ans et surtout des dizaines de CVE critiques corrigées.

Et pourtant on est jamais à l’abri d’une mauvaise surprise ! En effet, une fonctionnalité ajoutée récemment pour “améliorer” la sécurité a crée un trou béant. Baptisée CVE-2025-32463, cette une faille critique présente dans sudo est même déjà exploitée par des cybercriminels.

Alors qu’est ce qui se passe exactement ? Hé bien en 2023, les développeurs de sudo ajoutent une amélioration dans la version 1.9.14. L’option --chroot (qui permet d’isoler une commande dans une “prison” système) est améliorée pour mieux gérer le “command matching”. Ça part d’une bonne intention, comme toujours mais cela a débouché sur l’une des pires CVE de l’année.

Rich Mirch de Stratascale découvre alors le problème en juin 2025. Ainsi, quand sudo fait un chroot dans un répertoire contrôlé par l’utilisateur, il demande ensuite “qui es-tu ?” via NSS (Name Service Switch, le système qui résout les infos utilisateurs). Sauf que NSS lit ses fichiers de config… dans le chroot. Votre chroot, celui que vous contrôlez. Gloups !

Il suffit alors de placer un faux /etc/nsswitch.conf et une bibliothèque partagée malveillante dans votre répertoire. Sudo fait son petit chroot dedans, charge votre lib pour vérifier qui vous êtes… et hop votre code s’exécute en root. Ainsi, n’importe quel utilisateur local, sans droits sudo préexistants, peut devenir root. C’est con hein ?

C’est tout con à exploiter ! Et le score de cette faille est critique puisqu’on est sur un CVSS de 9.3 / 10. Et comme les PoC (proof of concept) sont disponibles sur Github dans plein de versions différentes (genre celle là ou celle là ), c’est la fête à l’exploitation sauvage !!

Le 29 septembre dernier, la CISA a même ajouté la CVE-2025-32463 au catalogue KEV (Known Exploited Vulnerabilities), ce qui confirme son exploitation dans la nature. Les agences fédérales américaines ont donc jusqu’au 20 octobre 2025 pour patcher.

Donc oui, c’est du sérieux.

Notez que le patch est disponible depuis le 30 juin 2025 . Sudo 1.9.17p1 corrige donc ce problème et la fonctionnalité --chroot est maintenant marquée comme “dépréciée”. Les développeurs ont compris que cette idée était bancale dès le départ.

Donc si vous êtes admin système et que vous n’avez pas encore mis à jour, c’est le moment, les amis !! Les versions vulnérables vont de sudo 1.9.14 à 1.9.17. Les versions antérieures (avant 1.9.14) ne sont pas touchées, car la fonctionnalité n’existait pas. Et les plus récentes (1.9.17p1+) sont patchées. Ouf !

Comme quoi, même le code le plus vénéré par les barbus peut se foirer sur une nouveauté. En tout cas, bien joué à Rich Mirch pour avoir trouvé ça ! Et sincèrement désolé pour les devs qui ont validé ce commit foireux en 2023, qui ont dû s’en vouloir un peu quand même ^^.

Source

Linux Mint Debian Edition 7 has been released. The update is called Gigi.

The stable release comes less than a month after the first beta of the distro was released. LMDE 7 is based on Debian 13 Trixie. It ships with the Linux 6.12 LTS kernel, and the Cinnamon desktop environment.

LMDE 7 includes the features that were introduced in Linux Mint 22.2 Zara, such as support for fingerprint authentication, for login, sudo commands.  The update brings changes from libadwaita-1.7. Feel free to read my previous coverage to learn more about the features in Mint 22.2.

Linux Mint Debian Edition 7 also introduces support for OEM installs, meaning the distro can be pre-installed by manufacturers on brand-new computers.

(Image courtesy: Linux Mint)

As a reminder, LMDE 7 is a 64-bit only OS. It does not support 32-bit computers.

For a full list of changes, please refer to Debian 13's release notes.

LMDE 7 System requirements:

• 2GB RAM (4GB recommended for a comfortable usage).
• 20GB of disk space (100GB recommended).
• 1024×768 resolution (on lower resolutions, press ALT to drag windows with the mouse if they don’t fit in the screen).

Users on LMDE 6 can run the following commands in the terminal to upgrade to v7.

apt update
apt install mintupgrade
sudo mintupgrade

This should initiate the updater. Or you can download Linux Mint Debian Edition 7 from the official website.

There are a few known issues in LMDE 7, which you can read about at the release notes page. This is a long term support release, an LTS. It is expected to follow the same schedule as Debian 13 LTS, which is supported until 30 Jun 2030.

Note: This is an FYI article. I have not tested LMDE 7. But I use Linux Mint, so the experience is pretty much the same.

Linux Mint 22.3 is targeting a December 2025 release, and will include a new app menu, a status applet, improvements to the Wayland session, ad more.

Thank you for being a Ghacks reader. The post Linux Mint Debian Edition 7 Gigi released appeared first on gHacks Technology News.

– Article invité, rédigé par Vincent Lautier, contient des liens affiliés Amazon –

Salut à tous chers amis geeks distraits ! Aujourd’hui, on va parler d’un objet qui a résolu un de mes plus gros problèmes du quotidien : la perte de mes lunettes. Je n’en porte que depuis quelques mois, et vu le prix que j’y ai mis, et la qualité de déplacements que je fais chaque semaines, les perdre était une angoisse constante. Mais genre vraiment.

Les semaines ont passé, et ce problème s’est amplifié. J’ai maintenant trois paires de lunettes essentielles : mes solaires (parce que le soleil, c’est mal), mes progressives (parce que l’âge, c’est mal aussi) et mes lunettes mi-distance le travail (parce que les écrans H24… bref, vous avez compris).

Trois paires, c’est trois fois plus de chances d’en égarer une. La panique, la perte de temps, le mini-infarctus quand on pense les avoir définitivement perdues sur une aire d’autoroute ou au MacDo à l’autre bout de la France. C’était mon lot quotidien. Jusqu’à ce que je tombe sur l’étui à lunettes connecté FindAll de Satechi . J’en ai acheté trois d’un coup, oui oui. Un pour chaque paire. Et après plusieurs mois d’utilisation intensive, le verdict est sans appel : je ne peux plus m’en passer.

C’est quoi ce truc ?

L’étui Satechi FindAll ressemble à un étui à lunettes classique, mais en plus élégant. Il est pliable, ce qui le rend ultra-plat quand il est vide, et se déplie pour former un prisme rigide qui protège parfaitement vos précieuses binocles. L’extérieur est en cuir vegan, l’intérieur en micro-suède pour ne pas rayer les verres, et la fermeture est magnétique. C’est propre, c’est sobre, ça respire la qualité.

Mais la magie n’est pas là. La magie, c’est que cet étui intègre une puce compatible avec le réseau « Localiser » (Find My) d’Apple. Exactement comme un AirTag, mais directement intégré à l’objet. Fini le bricolage avec un AirTag qui se balade dans l’étui et risque de rayer vos verres. Ici, la technologie est invisible. Et en plus, le truc se recharge en MagSafe, sur n’importe quel chargeur sans fil.

L’installation : 30 secondes chrono

Le jumelage est d’une simplicité enfantine, typique de l’écosystème Apple. Il suffit d’appuyer sur le petit bouton (très discret) de l’étui, d’ouvrir l’application « Localiser » sur son iPhone et de sélectionner « Ajouter un autre objet ». L’appareil est détecté quasi instantanément. Il ne reste plus qu’à lui donner un nom et un emoji pour finaliser la configuration. En moins d’une minute, votre étui est désormais traçable partout dans le monde.

Screenshot

À l’usage, c’est une révolution

Concrètement, cet étui change la donne au quotidien. La fonction que j’utilise le plus est sans conteste l’alerte d’oubli, qui met fin au fameux « Oups, j’ai oublié ». Si je pars d’un restaurant ou du bureau en laissant mon étui derrière moi, je reçois une notification sur mon iPhone avant même d’avoir atteint la porte. Il est aussi possible de faire sonner l’étui assez fort (90 dB) pour le repérer facilement. Enfin, si vous les oubliez vraiment quelque part en ville, le vaste réseau « Localiser » prend le relais, en signalant de manière anonyme et sécurisée la dernière position connue de l’étui sur une carte dès qu’un autre appareil Apple passe à proximité. J’utilise ces étuis depuis plusieurs mois, ça m’a été vraiment utile deux fois, à chaque fois j’avais oublié mes lunettes chez de la famille. Rien de grave donc, mais j’ai été rassuré tout de suite.

Autonomie et recharge ne sont pas un problème.

On pourrait craindre de devoir recharger un énième gadget toutes les semaines. Que nenni ! Satechi annonce une autonomie allant jusqu’à 8 mois. Après plusieurs mois d’utilisation, je n’ai toujours pas eu à les recharger. Enfin, c’est pas tout à fait exact. En réalité je n’en sais rien, car comme je peux les charger sur mes chargeurs MagSafe (aimantés ou non), je les pose de temps en temps, aléatoirement sur mon chargeur d’iPhone, et sans vraiment m’en préoccuper, je les recharge régulièrement, ça n’est même pas un sujet.

Le seul “reproche” qu’on pourrait lui faire est l’absence de la puce UWB (Ultra-Wideband) présente dans les AirTags d’Apple. Vous n’aurez donc pas la fonction « Localisation précise » avec la petite flèche qui vous guide au centimètre près. Mais honnêtement, pour un objet de cette taille, la sonnerie est bien plus efficace et l’absence de l’UWB ne m’a jamais manqué. Après bien sur, il faut que vos lunettes soient dans leurs étuis, mais c’est une habitude que j’ai pris tout de suite, dès qu’elles ne sont plus sur mon nez, je les pose dans leurs étuis, avec leur petite chiffonette s(au passage je vous recommande ces chiffonnettes là, elles sont incroyables).

Bret, indispensable pour les têtes en l’air

En ce moment elles souvent à moins de 40 euros, et même 33 euros au moment où j’écris ces lignes en cochant un coupon sur Amazon .  Cet étui n’est pas un simple gadget. C’est une assurance tranquillité. Le coût de remplacement d’une seule de mes paires de lunettes justifie à lui seul cet investissement.

Si vous portez des lunettes (de vue, de soleil, etc.) que vous êtes un peu distrait, foncez. C’est le genre de produit intelligent, bien pensé et qui répond à un vrai problème, et en plus c’est aussi un chouette cadeau à faire !

J’en profite pour vous informer que j’ai ouvert une petite page sur Amazon avec tous les produits que je recommande et utilise au quotidien, pensez à y faire un petit saut !

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie “Gadgets Tech” , comme cette liseuse Android de dingue ou ces AirTags pour Android !

À l'occasion d'une soirée organisée à la Fondation Palladio, l'Observatoire de l'Immobilier Durable (OID) et le Plan Bâtiment Durable (PBD) ont officialisé ce lundi le lancement de la Charte d'engagement à l'adaptation du secteur immobilier au changement climatique. Cette initiative inédite vise à accompagner les acteurs du secteur dans la mise en œuvre d'actions concrètes pour anticiper les risques climatiques et renforcer la résilience de leurs bâtiments, de leurs organisations et, plus largement, de la (...)

- Communiqué de presse / OID, durable

SOGEPROM, promoteur immobilier du groupe Société Générale, et Edgar Suites, développeur et exploitant d'appart'hôtels haut de gamme, annoncent le début des travaux de construction d'une nouvelle résidence hôtelière, située à Clichy, à proximité immédiate de Paris.
Un emplacement privilégié pour une expérience inoubliable Située à Clichy, à proximité immédiate du Tribunal de Paris, et du quartier des Batignolles dans le 17e arrondissement de Paris, la résidence bénéficiera d'un emplacement stratégique, proche des (...)

- Communiqué de presse / Edgar, Île-de-France

EDITION poursuit son expansion en Arabie saoudite et invite les voyageurs les plus exigeants à découvrir l'une des destinations les plus envoûtantes – et encore méconnues – de la région.
Situé le long des plages de sable blanc de l'île de Shura, sur la côte ouest de l'Arabie Saoudite, EDITION dévoile sa deuxième adresse dans le pays avec l'ouverture de The Red Sea EDITION, après ses débuts remarqués à Jeddah l'an dernier. Véritable réinterprétation du luxe traditionnel, ce nouvel hôtel invite à découvrir (...)

- Communiqué de presse / Mer Rouge, Arabie Saoudite, luxe, ouverture