Hier était le patch mardi pour juin, ce qui signifie que Microsoft a fourni de nouveaux correctifs de sécurité pour 66 vulnérabilités. Selon Microsoft, une vulnérabilité de Windows est déjà exploitée pour les attaques et plusieurs autres vulnérabilités de Windows et Office sont étiquetées comme critiques.
Continuez à lire pour plus de détails sur les différentes vulnérabilités de sécurité qui ont été abordées. Le prochain patch mardi sera le 8 juillet 2025.
Vulnérabilités de sécurité Windows
Un grand nombre de vulnérabilités – cette fois 44 – sont réparties sur les différentes versions Windows (10 et plus récentes, serveur) pour lesquelles Microsoft propose toujours des mises à jour de sécurité. Les Windows 7 et 8.1 ne reçoivent plus de mises à jour de sécurité, ils restent donc vulnérables. Si vos exigences système le permettent, vous devez passer à Windows 11 24h2 à votre plus tôt commodité pour continuer à recevoir des mises à jour de sécurité. (Avec Windows 10 atteignant la fin de la vie en octobre, nous ne recommandons pas cela.)
Windows sous attaque
Selon Microsoft, des attaques sont déjà effectuées sur la vulnérabilité CVE-2025-33053 dans Windows, qui affecte WebDAV et Internet Explorer. Ceci est toujours présent comme un héritage dans toutes les versions Windows car la plate-forme MSHTML, par exemple, est toujours utilisée par certaines applications plus anciennes. Un clic sur un lien spécialement préparé est suffisant pour que l’utilisateur exécute du code infiltré. Microsoft fournit des mises à jour pour Windows Server 2008 et plus récents pour corriger cette vulnérabilité.
La vulnérabilité EOP (élévation des privilèges) CVE-2025-33073 dans le client Windows SMB est déjà connue publiquement. Microsoft tient à remercier les experts de plusieurs sociétés de sécurité informatique qui ont signalé en privé cette vulnérabilité à Microsoft. Si un utilisateur peut être trompé pour contacter un serveur malveillant – un serveur SMB serait un choix évident – alors le serveur pourrait compromettre le système de l’utilisateur et gagner des privilèges élevés. En fin de compte, le code avec les droits du système pourrait être exécuté.
Vulnérabilités de Windows critiques
Microsoft a identifié une vulnérabilité RCE (CVE-2025-33071) dans le service proxy Kerberos KDC (KPSSVC) comme critique. Les contrôleurs de domaine ne sont généralement pas affectés par cela. La vulnérabilité RCE CVE-2025-29828 dans Windows Schannel pourrait être exploitée par un attaquant envoyant un flot de messages fragmentés du client à un serveur qui accepte les connexions TLS. Selon Dustin Childs, Microsoft a secrètement corrigé la vulnérabilité RCE CVE-2025-32710 dans les services de bureau à distance en mai et ne fait que rattraper la documentation.
La vulnérabilité EOP (élévation du privilège) CVE-2025-33070 dans Windows Netlogon pourrait permettre à un attaquant d’obtenir les autorisations d’un administrateur de domaine en envoyant des demandes de connexion fabriquées à un contrôleur de domaine. Microsoft considère apparemment qu’il est très probable que cette vulnérabilité sera exploitée dans un avenir prévisible.
Microsoft a également identifié la vulnérabilité EOP CVE-2025-47966 dans l’automate d’outils de productivité basée sur le cloud (anciennement Microsoft Flow) comme critique. Heureusement, Microsoft en a déjà pris soin.
Vulnérabilités de sécurité des bureaux
Microsoft a fixé 18 vulnérabilités dans sa famille de produits de bureau, dont 17 vulnérabilités RCE. Cinq vulnérabilités sont classées comme critiques, dont une qui affecte spécifiquement SharePoint. Microsoft classe les autres vulnérabilités comme risque élevé.
Pour les quatre autres vulnérabilités critiques, la fenêtre d’aperçu est considérée comme un vecteur d’attaque. Cela signifie qu’il est possible pour un fichier préparé de faciliter une attaque simplement en étant affichée dans l’aperçu. L’utilisateur n’a pas à cliquer dessus ou à l’ouvrir.
Vulnérabilités de sécurité du navigateur
La dernière version du navigateur d’Edge est 137.0.3296.68 à partir du 6 juin, basée sur Chromium 137.0.7151.69. Cependant, Google a publié une nouvelle version chromée (et chrome) de la version 137.0.7151.103/104 hier le 10 juin, qui corrige les vulnérabilités classées comme risque élevé.
