En résumé:
- PCWorld rapporte que Microsoft a publié des mises à jour de sécurité critiques corrigeant 15 vulnérabilités d’Office, dont 14 failles d’exécution de code à distance affectant Excel, Word, Outlook et Access.
- Une vulnérabilité zero-day (CVE-2025-62221) est activement exploitée, tandis que deux failles critiques peuvent être déclenchées simplement en prévisualisant des fichiers malveillants.
- Les utilisateurs doivent mettre à jour immédiatement car ces vulnérabilités posent de sérieux risques de sécurité, avec des attaques possibles via des interactions de fichiers de base dans les applications Office.
Hier, c’était le grand « Patch Tuesday » de Microsoft, qui a publié diverses mises à jour de sécurité contre 56 nouvelles vulnérabilités. Cela complète l’année avec un total énorme de 1 139 vulnérabilités corrigées tout au long de 2025. En plus de Windows et Office, ces correctifs affectent également Azure, Copilot, Defender, Exchange et PowerShell.
La prochaine grande mise à jour est prévue pour le 13 janvier 2026. Voici un aperçu plus approfondi de tous les correctifs de sécurité des produits et services Microsoft.
Vulnérabilités de Microsoft Windows
Une grande partie des vulnérabilités – 38 cette fois – sont réparties sur les différentes versions de Windows (Windows 10, Windows 11 et Windows Server) pour lesquelles Microsoft propose toujours des mises à jour de sécurité.
Windows 10 continue d’être cité comme système concerné, même si le support a officiellement pris fin en octobre. Ce n’était pas le cas sous Windows 7, malgré le programme ESU (Extended Security Updates).
CVE-2025-62221 est une vulnérabilité d’élévation de privilèges (EoP) à haut risque dans le pilote de mini-filtre de fichiers cloud qui est déjà exploitée pour des attaques sauvages. Un attaquant efficace peut même exécuter son code avec des droits au niveau du système en combinant cette vulnérabilité d’utilisation après libération (UAF) avec une vulnérabilité d’exécution de code à distance (RCE), qui existe en grand nombre. Toutes les versions de Windows prises en charge sont vulnérables.
Avec CVE-2025-62454 et CVE-2025-62457, Microsoft en a corrigé deux autres du même type, mais ils ne sont pas activement exploités.
Bien qu’aucune vulnérabilité Windows n’ait été classée comme critique ce mois-ci, Microsoft en a corrigé certaines potentiellement dangereuses. Par exemple, il existe une vulnérabilité EoP et deux vulnérabilités de déni de service (DoS) dans le cœur graphique DirectX. Avec CVE-2025-54100, Microsoft a éliminé une faille RCE problématique dans PowerShell qui était déjà connue publiquement à l’avance. Le service de routage et d’accès à distance (RRAS) est également une fois de plus représenté par trois vulnérabilités de sécurité, dont CVE-2025-62549 (une vulnérabilité RCE).
Vulnérabilités de Microsoft Office
Microsoft classe deux des vulnérabilités d’Office comme critiques. Selon Microsoft, l’un d’eux est déjà exploité pour des attaques sauvages. Nous avons obtenu peu de détails sur les autres vulnérabilités, qui ne sont pas vraiment consultables dans le Guide des mises à jour de sécurité.
Microsoft a corrigé 15 vulnérabilités dans sa famille de produits Office, dont 14 vulnérabilités RCE. Microsoft classe deux de ces vulnérabilités RCE (CVE-2025-62554 et CVE-2025-62557) comme critiques, la fenêtre d’aperçu étant un vecteur d’attaque. Cela signifie qu’une attaque réussie peut se produire simplement en cliquant sur un fichier affiché dans l’aperçu, même si l’utilisateur ne l’ouvre jamais réellement.
Microsoft classe les autres vulnérabilités d’Office comme à haut risque. Ici, un utilisateur doit réellement ouvrir un fichier préparé pour que le code d’exploitation prenne effet (« ouvrir pour posséder »). Six de ces vulnérabilités affectent Excel, trois dans Word et une dans Outlook et Access.
Vulnérabilités de Microsoft Exchange
Microsoft a corrigé deux vulnérabilités dans Exchange Server. CVE-2025-64666 est une vulnérabilité EoP signalée à Microsoft par la NSA. La deuxième vulnérabilité, CVE-2025-64667, est une vulnérabilité d’usurpation d’identité.
Toute personne travaillant encore avec Exchange Server 2016 ou 2019 peut ne pas être protégée malgré ces mises à jour, car les deux ont reçu leurs dernières mises à jour en octobre. Heureusement, il existe un programme ESU de six mois pour Exchange qui se déroule jusqu’au Patch Tuesday d’avril 2026.
Vulnérabilités de Microsoft Edge
La dernière mise à jour de sécurité pour Edge 143.0.3650.66 a été publiée le 4 décembre et est basée sur Chromium 143.0.7499.41. Il corrige plusieurs vulnérabilités de Chromium. Microsoft a également corrigé une vulnérabilité spécifique à Edge (CVE-2025-62223).
