Hier était le patch mardi pour Microsoft, ce qui signifie des tonnes de mises à jour de sécurité à travers les produits et services de l’entreprise. Plus précisément, 107 nouvelles vulnérabilités de sécurité ont été corrigées.
Microsoft classe plusieurs des vulnérabilités de Windows et Office comme critiques, mais dit également qu’aucune des vulnérabilités n’est actuellement exploitée dans la nature.
Continuez à lire pour un aperçu des défauts de sécurité fixes et de la façon dont ils pourraient vous affecter. Le prochain patch mardi sera le 9 septembre 2025.
Mises à jour de sécurité pour Windows
Un grand nombre de vulnérabilités – 67 cette fois – sont réparties dans les différentes versions Windows pour lesquelles Microsoft propose toujours des mises à jour de sécurité, à savoir Windows 10, Windows 11 et Windows Server.
Les utilisateurs de Windows 7 et de Windows 8.1 n’ont pas obtenu de mises à jour de sécurité depuis un certain temps, donc resteront vulnérables. Si c’est vous et vos exigences système le permettez, vous devez passer à Windows 11 24h2 pour continuer à recevoir des mises à jour de sécurité.
Vulnérabilités de Windows critiques
Microsoft a identifié le CVE-2025-53766, une vulnérabilité REDE Execution (RCE) dans l’API d’interface de l’appareil graphique pour les applications graphiques, ainsi que CVE-2025-50165, une autre vulnérabilité RCE mais dans le composant graphique Windows, comme critique. Une visite sur un site Web spécialement préparé est suffisante pour injecter et exécuter un code arbitraire sans interaction utilisateur. Avec cette dernière vulnérabilité, un attaquant a simplement besoin de créer une image pour être intégrée dans une page Web.
Microsoft a classé trois vulnérabilités dans Hyper-V comme essentielles. CVE-2025-48807 est une vulnérabilité RCE qui, si elle est exploitée, permet d’exécuter du code sur l’hôte à partir du système invité. CVE-2025-53781 est une fuite de données qui permet d’accéder aux informations confidentielles. CVE-2025-49707 est une vulnérabilité d’usurpation qui permet à une machine virtuelle de simuler une identité différente lors de la communication avec des systèmes externes.
Microsoft a fixé 12 vulnérabilités dans le service de routage et d’accès à distance (RRAS), dont la moitié sont des vulnérabilités RCE, l’autre moitié sont des fuites de données. Tous sont classés comme un risque élevé.
La seule vulnérabilité précédemment publiée dans ce correctif mardi est CVE-2025-53779 dans Kerberos pour Windows Server 2025. Dans certaines conditions, un attaquant réussi peut obtenir des droits d’administrateur pour les domaines. Microsoft le classe comme un risque moyen uniquement.
Mises à jour de la sécurité pour le bureau
Microsoft a fixé 18 vulnérabilités dans sa famille de produits de bureau, dont 16 vulnérabilités RCE. Quatre de ces vulnérabilités RCE sont étiquetées comme critiques car la fenêtre d’aperçu est considérée comme un vecteur d’attaque. Cela signifie qu’une attaque peut se produire via un fichier affiché dans l’aperçu, même si l’utilisateur ne clique pas dessus ou ne l’ouvre pas. Deux de ces vulnérabilités sont en parole.
Microsoft classe les autres vulnérabilités de bureau comme risque élevé. Ici, un utilisateur doit ouvrir un fichier préparé pour que le code d’exploitage prenne effet.
Mises à jour de sécurité pour le navigateur Edge
La dernière mise à jour de sécurité vers Edge 139.0.3405.86 a été publiée le 7 août et est basée sur Chromium 139.0.7258.67. Il corrige plusieurs vulnérabilités dans la base du chrome.
Edge pour Android 139.0.3405.86 est légèrement plus récent et Microsoft a rendu cette version disponible pour combler deux lacunes spécifiques aux bords.
