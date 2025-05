Commentaire du Patch Tuesday (« Mardi des correctifs ») de mai 2025

mai 2025 par Ivanti

Le Patch Tuesday de mai résout 5 vulnérabilités activement exploitées et 2 ayant été publiquement divulguées. « Spoiler Alert » : ces cinq Zero Day sont toutes résolues par le déploiement de la mise à jour d’OS Windows. En outre, les mises à jour Windows 11 et Server 2025 du mois incluent de nouvelles fonctions IA, mais elles sont bien plus lourdes . Littéralement. Elles font environ 4 Go ! Ces nouvelles fonctions IA sont notamment Recall, Click to Do et une version améliorée de Windows Search.

Microsoft résout ce mois-ci un total de 72 nouvelles CVE, dont 6 sont classées Critique. Les 5 vulnérabilités Zero Day sont classées Important, mais l’application d’un modèle de scores ajustés sur le risque les fait toutes passer au niveau Critique.

Vulnérabilités Microsoft exploitées

Microsoft résout une vulnérabilité EP (Élévation de privilèges) dans le pilote de fonction connexe Windows (Ancillary Function Driver) pour WinSock (CVE-2025-32709), qui pourrait permettre à un pirate d’élever les privilèges en local pour obtenir un accès Administrateur. Cette vulnérabilité affecte Windows Server 2012 et les versions d’OS plus récentes. L’exploitation de cette vulnérabilité sur le terrain a été confirmée. Microsoft lui attribue le niveau de gravité Important et son score CVSS 3.1 est de 7,8. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau Critique.

Microsoft résout des vulnérabilités EP (Élévation de privilèges) dans le pilote du système de fichiers journaux communs Windows (CVE-2025-32706) et (CVE-2025-32701), qui pourraient permettre à un pirate d’élever les privilèges en local pour obtenir un accès SYSTEM. Ces vulnérabilités concernent toutes les versions de l’OS Windows. L’exploitation de ces vulnérabilités sur le terrain a été confirmée. Le score de gravité Microsoft pour ces deux CVE est Important et leur CVSS 3.1 est de 7,8. La priorisation basée sur les risques réclame de traiter ces vulnérabilités comme étant de niveau Critique.

Microsoft résout une vulnérabilité EP (Élévation de privilèges) dans la bibliothèque principale du Gestionnaire de fenêtrage Microsoft (CVE-2025-30400), qui pourrait permettre à un pirate d’élever les privilèges en local pour obtenir un accès SYSTEM. Cette vulnérabilité affecte Windows 10, Server 2016 et les versions d’OS plus récentes. L’exploitation de cette vulnérabilité sur le terrain a été confirmée. Microsoft lui attribue le niveau de gravité Important et son score CVSS 3.1 est de 7,8. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau Critique.

Microsoft résout une vulnérabilité MC (Corruption de mémoire) dans le moteur de scripts Microsoft (CVE-2025-30397), qui pourrait permettre à un pirate d’exécuter du code sur un réseau. Cette vulnérabilité concerne toutes les versions de l’OS Windows. L’exploitation de cette vulnérabilité sur le terrain a été confirmée. Microsoft lui attribue le niveau de gravité Important et son score CVSS 3.1 est de 7,8. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau Critique.

Vulnérabilités Microsoft divulguées publiquement

Microsoft résout une vulnérabilité RCE (Exécution de code à distance) dans Visual Studio (CVE-2025-30397), qui pourrait permettre à un pirate d’exécuter du code en local. Cette vulnérabilité affecte Visual Studio 2019 et 2022. Cette vulnérabilité a été divulguée publiquement, mais la maturité du code est Unproven (Non prouvé) et son niveau d’exploitabilité Less Likely (Moins probable).

Microsoft résout une vulnérabilité d’usurpation d’identité (Spoofing) dans Microsoft Defender (CVE-2025-26685), qui pourrait permettre à un pirate d’exécuter une usurpation d’identité sur un réseau adjacent. Cette vulnérabilité concerne Microsoft Defender for Identity. Cette vulnérabilité a été divulguée publiquement, mais la maturité du code est Unproven (Non prouvé) et son niveau d’exploitabilité Less Likely (Moins probable).

Vulnérabilités tierces

• Adobe publie 13 mises à jour ce mois-ci pour résoudre 39 CVE, dont 33 sont marquées Critique. Pour en savoir plus, cliquez ici pour consulter les dernières mises à jour de sécurité produit Adobe.

• Google Chrome prévoit de publier bientôt une mise à jour hebdomadaire, ne la manquez pas.

Priorités de mise à jour pour mai

• L’OS Windows est la priorité numéro 1 ce mois-ci, en raison des 5 exploitations Zero Day (CVE) signalées.

Points essentiels

• Microsoft résout 72 nouvelles CVE, dont 5 exploitations Zero Day.

• La mise à jour Windows 11 et Server 2025 de mai inclut trois fonctions IA et un programme d’installation bien plus volumineux ( 4 Go).

• Adobe publie 13 mises à jour qui résolvent un total de 39 CVE, dont 33 sont classées Critique.