Hier était le patch mardi, et Microsoft a fourni des mises à jour de sécurité qui ont abordé 77 nouvelles vulnérabilités, avec cinq vulnérabilités de sécurité sous Windows déjà exploitées dans la nature, et plusieurs autres à Windows et Office étant étiquetés comme «critiques».
Microsoft propose des détails clairsemés sur les vulnérabilités du guide de mise à jour de sécurité, mais Dustin Childs va plus en détail dans le blog ZDI de Trend Micro avec un œil pour les administrateurs qui gèrent les réseaux d’entreprise.
Le prochain patch mardi devrait se produire le 10 juin 2025.
Vulnérabilités de sécurité dans Windows
Un grand nombre de vulnérabilités – 44 cette fois – sont réparties sur les différentes versions Windows (10, 11 et serveur) pour lesquelles Microsoft propose toujours des mises à jour de sécurité. Bien que Windows 7 et 8.1 ne soient plus mentionnés dans les rapports de sécurité, ils pourraient toujours être vulnérables. Si vos exigences système le permettent, vous devez passer à Windows 11 24h2 avant octobre pour continuer à recevoir des mises à jour de sécurité.
Vulnérabilités de Windows zéro jour
Selon Microsoft, il y a déjà des attaques sur un total de cinq vulnérabilités de sécurité dans Windows, la vulnérabilité CVE-2025-30397 RETOGE CODE (RCE) se démarquant. Si Edge est votre navigateur par défaut, il suffit d’un clic sur un lien fabriqué pour forcer Edge pour passer en mode Explorer Internet (une fonctionnalité héritée qui reste dans toutes les versions Windows car la plate-forme MSHTML est toujours utilisée par certaines applications plus anciennes).
Les autres vulnérabilités zéro-jours comprennent les problèmes d’EOP (élévation des privilèges), que les attaquants peuvent utiliser pour donner à leur code des autorisations plus élevées, voire des droits du système. En règle générale, de telles vulnérabilités sont utilisées en combinaison avec une vulnérabilité RCE. Cela permet d’exécuter le code infiltré avec des droits système complets, que les groupes de ransomwares aiment faire.
Ces vulnérabilités affectent le pilote du système de fichiers journal de Windows (CVE-2025-32701, CVE-2025-32706), le pilote de fonction auxiliaire pour Winsock (CVE-2025-32709) et la bibliothèque de base du gestionnaire de fenêtres de bureau (CVE-2025-30400).
Vulnérabilités de Windows critiques
Microsoft a identifié deux vulnérabilités étroitement apparentées dans le client de bureau distant comme critique (CVE-2025-29966, CVE-2025-29967). Si un utilisateur se connecte à un serveur RDP malveillant, le code peut être injecté et exécuté. En outre, la vulnérabilité RCE CVE-2025-29833 dans le bus de machine virtuelle nécessite que les autorisations d’un utilisateur enregistrées sont exploitées.
Vulnérabilités de sécurité au pouvoir
Microsoft a fixé 18 vulnérabilités dans sa famille de produits de bureau, dont 17 vulnérabilités RCE. Deux vulnérabilités d’usage après sans être (CVE-2025-30377 et CVE-2025-30386) sont classées comme critiques. Pour ces deux vulnérabilités RCE, la fenêtre d’aperçu est un vecteur d’attaque, ce qui signifie qu’il peut permettre une attaque réussie lorsqu’un fichier préparé s’affiche dans l’aperçu. L’utilisateur n’a même pas besoin de cliquer dessus ou de l’ouvrir.
Microsoft classe les autres vulnérabilités comme risque élevé. Neuf de ces vulnérabilités RCE sont dans Excel, trois affectent SharePoint, plus une dans PowerPoint et Outlook. Avec ces vulnérabilités, une attaque réussie nécessite qu’un utilisateur ouvre un fichier spécialement préparé. Le code malveillant peut ensuite être exécuté avec les droits des utilisateurs.
Vulnérabilités de sécurité dans les services cloud
Le 8 mai, Microsoft a fixé six vulnérabilités de sécurité dans les applications Azure, Dataverse et Power qui ont été classées comme critiques. Il s’agit notamment de CVE-2025-29813 (une vulnérabilité EOP en Azure) et de deux autres vulnérabilités azur. Les clients de Microsoft n’ont pas besoin de prendre des mesures.
