Le deuxième mardi de chaque mois, Microsoft publie ses correctifs de sécurité. Ils arrosent aussi bien Windows que d’autres produits comme Office, Visual Studio et les environnements .NET. C’est toutefois le système d’exploitation qui concentre l’immense majorité des corrections.

Le premier « Patch Tuesday » de l’année est particulièrement copieux. Pour la Zero Day Initiative de Trend Micro, c’est même le plus important depuis 2017, avec des correctifs pour pas moins de 159 failles, et même 161 si on compte les failles tierces. 11 de ces failles sont critiques, 5 sont connues publiquement et 3 exploitées activement.

D’importantes failles connues ou exploitées

Le principal danger corrigé par ce Patch Tuesday vient d’un lot de huit failles classées comme importantes.

Trois (CVE-2025-21186, CVE-2025-21366 et CVE-2025-21395) résident dans Access et permettent toutes, si exploitées, une exécution de code arbitraire à distance. Elles présentent toutes les trois un score CVSS3.1 de 7,8. CVE-2025-21275 concerne pour sa part App Package Installer, également avec un score de 7,8. Elle peut entrainer une élévation de privilèges. Quant à CVE-2025-21308, avec un score de 6,5, elle touche la gestion des thèmes dans Windows.

Le problème vient surtout d’un groupe de trois failles concernant l’hyperviseur Hyper-V. Estampillées CVE-2025-21333, CVE-2025-21334 et CVE-2025-21335, elles permettent à une personne authentifiée d’exécuter du code avec les privilèges SYSTEM. Ces trois vulnérabilités sont activement exploitées. Il est donc conseillé d’installer les mises à jour au plus vite.

Une dizaine de failles critiques

Si ces failles sont publiques ou exploitées, elles sont « seulement » importantes. Les correctifs publiés hier soir colmatent également 11 brèches critiques :

• CVE-2025-21380 (CVSS 8,8) : Azure Marketplace SaaS Resources, peut révéler des informations
• CVE-2025-21296 (CVSS 7,5) : BranchCache, exécution de code à distance
• CVE-2025-21294 (CVSS 8,1) : Digest Authentication, exécution de code à distance
• CVE-2025-21385 (CVSS 8,8) : Purview, peut révéler des informations
• CVE-2025-21295 (CVSS 8,1) : SPNEGO Extended Negotiation (NEGOEX), exécution de code à distance
• CVE-2025-21178 (CVSS 8,8) : Visual Studio, exécution de code à distance
• CVE-2025-21311 (CVSS 9,8) : NTLM V1, élévation de privilèges
• CVE-2025-21298 (CVSS 9,8) : OLE (Object Linking and Embedding), exécution de code à distance
• CVE-2025-21307 (CVSS 9,8) : Reliable Multicast Transport Driver (RMCAST), exécution de code à distance
• CVE-2025-21297 (CVSS 8,1) : Remote Desktop Services, exécution de code à distance
• CVE-2025-21309 (CVSS 8,1) : Remote Desktop Services, exécution de code à distance

On peut voir que trois de ces failles ont un score CVSS de 9,8, soit pratiquement le maximum.

En tout, ce Patch Tuesday colmate une soixantaine de failles pouvant permettre des exécutions de code. Autre point notable, le service Téléphonie de Windows reçoit à lui seul 28 correctifs, mais qui nécessitent tous une interaction avec l’utilisateur. Les 11 failles critiques, les 5 failles importantes publiques et les trois failles importantes déjà exploitées sont en revanche dangereuses. Il est conseillé de mettre à jour rapidement sa ou ses machines.