Big August Update corrige des dizaines de défauts de sécurité dans Windows et Office

Vulnérabilités de Windows critiques

Un grand nombre de vulnérabilités – 58 cette fois – se propagent dans les différentes versions Windows pour lesquelles Microsoft propose toujours des mises à jour de sécurité: Windows 10, Windows 11 et Windows Server.

Les Windows 7 et 8.1 n’obtiennent plus de mises à jour de sécurité, donc elles restent aussi vulnérables que jamais. Si vous êtes toujours sur ces versions et que vos exigences système le permettent, vous devez passer à Windows 11 dès que possible pour continuer à recevoir des mises à jour de sécurité.

Microsoft a classé 7 vulnérabilités de sécurité dans Windows comme critiques, y compris quatre vulnérabilités d’exécution de code distant (RCE). Cinq de ces vulnérabilités critiques se trouvent dans des composants graphiques. Il peut être suffisant pour ouvrir un fichier image infecté (par exemple, chargé à partir d’un site Web) pour exécuter un code malveillant. La vulnérabilité des fuites de données CVE-2025-53799 se distingue par car son exploitation ne peut exposer qu’une petite partie de la mémoire de travail. On ne sait toujours pas pourquoi celui-ci est considéré comme critique.

Microsoft a également fixé 5 vulnérabilités de sécurité dans Hyper-V, dont l’une (CVE-2025-55224) est classée comme critique. Les autres sont des vulnérabilités d’élévation des privilèges (EOP). Le CVE-2025-54918 dans le NT LAN Manager est également une vulnérabilité EOP classifiée comme critique. Un attaquant avec les droits des utilisateurs peut obtenir des autorisations système via le réseau, et il est suffisamment simple pour qu’il puisse être utilisé dans le cadre d’une attaque ciblée.

Autres vulnérabilités Windows

La vulnérabilité avec le score de vulnérabilité le plus élevé est CVE-2025-55232 dans le pack de calculs haute performance (HPC). Un attaquant pourrait injecter à distance du code sans compte d’utilisateur et l’exécuter par lui-même. Cela rend la vulnérabilité potentiellement verbin dans un réseau HPC. En règle générale, il affecte uniquement les clusters d’ordinateurs haute performance qui sont déjà sécurisés. Microsoft recommande de bloquer le port TCP 5999.

Microsoft a éliminé 10 vulnérabilités dans le service de routage et d’accès à distance (RRAS) ce mois-ci, contre 12 le mois dernier. Cette fois, il n’y a que deux vulnérabilités RCE, les autres sont des fuites de données. Tous sont classés comme un risque élevé. Dans le service de pare-feu Windows, Microsoft a fixé 6 vulnérabilités EOP qui sont considérées comme un risque élevé. Un attaquant avec les droits des utilisateurs pourrait les utiliser pour obtenir les autorisations d’un compte système local afin d’exécuter du code malveillant.

Vulnérabilités de bureau critiques

Microsoft a fixé 16 vulnérabilités dans sa famille de produits de bureau, y compris 12 vulnérabilités d’exécution de code distant (RCE). L’une de ces vulnérabilités RCE (CVE-2025-54910) est étiquetée comme critique car la fenêtre d’aperçu est considérée comme un vecteur d’attaque. Cela signifie qu’une attaque pourrait se produire simplement en affichant un fichier infecté dans l’aperçu, même si l’utilisateur ne clique pas dessus ou ne l’ouvre pas.

Microsoft classe les autres vulnérabilités de bureau comme risque élevé. Ici, un utilisateur doit ouvrir un fichier infecté pour que le code d’exploitage prenne effet («ouvert à posséder»). Il y a 8 vulnérabilités RCE fixes dans Excel seul.

Mises à jour de la sécurité du navigateur

La dernière mise à jour de sécurité vers Edge 140.0.3485.54 a été publiée le 5 septembre et est basée sur Chromium 140.0.7339.81. Il corrige plusieurs vulnérabilités de chrome ainsi qu’une vulnérabilité spécifique au bord. Google a depuis publié une nouvelle mise à jour de sécurité, à laquelle Microsoft devra répondre plus tard cette semaine.