Patch Tuesday : Microsoft corrige 159 failles, dont trois déjà exploitées

Sans attendre

Le dernier lâcher de correctifs de Microsoft est imposant. Il vient colmater pas moins de 159 failles réparties dans plusieurs produits de l’entreprise, dans Windows essentiellement. Trois de ces vulnérabilités sont déjà exploitées, rendant l’installation des correctifs urgente.

Vincent Hermann

Le 15 janvier 2025 à 11h40

3 min

Sécurité

Le deuxième mardi de chaque mois, Microsoft publie ses correctifs de sécurité. Ils arrosent aussi bien Windows que d’autres produits comme Office, Visual Studio et les environnements .NET. C’est toutefois le système d’exploitation qui concentre l’immense majorité des corrections.

Le premier « Patch Tuesday » de l’année est particulièrement copieux. Pour la Zero Day Initiative de Trend Micro, c’est même le plus important depuis 2017, avec des correctifs pour pas moins de 159 failles, et même 161 si on compte les failles tierces. 11 de ces failles sont critiques, 5 sont connues publiquement et 3 exploitées activement.

D’importantes failles connues ou exploitées

Le principal danger corrigé par ce Patch Tuesday vient d’un lot de huit failles classées comme importantes.

Trois (CVE-2025-21186, CVE-2025-21366 et CVE-2025-21395) résident dans Access et permettent toutes, si exploitées, une exécution de code arbitraire à distance. Elles présentent toutes les trois un score CVSS3.1 de 7,8. CVE-2025-21275 concerne pour sa part App Package Installer, également avec un score de 7,8. Elle peut entrainer une élévation de privilèges. Quant à CVE-2025-21308, avec un score de 6,5, elle touche la gestion des thèmes dans Windows.

Le problème vient surtout d’un groupe de trois failles concernant l’hyperviseur Hyper-V. Estampillées CVE-2025-21333, CVE-2025-21334 et CVE-2025-21335, elles permettent à une personne authentifiée d’exécuter du code avec les privilèges SYSTEM. Ces trois vulnérabilités sont activement exploitées. Il est donc conseillé d’installer les mises à jour au plus vite.

Une dizaine de failles critiques

Si ces failles sont publiques ou exploitées, elles sont « seulement » importantes. Les correctifs publiés hier soir colmatent également 11 brèches critiques :

CVE-2025-21380 (CVSS 8,8) : Azure Marketplace SaaS Resources, peut révéler des informations
CVE-2025-21296 (CVSS 7,5) : BranchCache, exécution de code à distance
CVE-2025-21294 (CVSS 8,1) : Digest Authentication, exécution de code à distance
CVE-2025-21385 (CVSS 8,8) : Purview, peut révéler des informations
CVE-2025-21295 (CVSS 8,1) : SPNEGO Extended Negotiation (NEGOEX), exécution de code à distance
CVE-2025-21178 (CVSS 8,8) : Visual Studio, exécution de code à distance
CVE-2025-21311 (CVSS 9,8) : NTLM V1, élévation de privilèges
CVE-2025-21298 (CVSS 9,8) : OLE (Object Linking and Embedding), exécution de code à distance
CVE-2025-21307 (CVSS 9,8) : Reliable Multicast Transport Driver (RMCAST), exécution de code à distance
CVE-2025-21297 (CVSS 8,1) : Remote Desktop Services, exécution de code à distance
CVE-2025-21309 (CVSS 8,1) : Remote Desktop Services, exécution de code à distance

On peut voir que trois de ces failles ont un score CVSS de 9,8, soit pratiquement le maximum.

En tout, ce Patch Tuesday colmate une soixantaine de failles pouvant permettre des exécutions de code. Autre point notable, le service Téléphonie de Windows reçoit à lui seul 28 correctifs, mais qui nécessitent tous une interaction avec l’utilisateur. Les 11 failles critiques, les 5 failles importantes publiques et les trois failles importantes déjà exploitées sont en revanche dangereuses. Il est conseillé de mettre à jour rapidement sa ou ses machines.

Commentaires (18)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

PierroZ

Le 15/01/2025 à 11h49

Je pige pas pourquoi par exemple celle-ci n'est pas dispo aujourd'hui (le 15 à presque 12h00) via Windows update sur mon 24H2 : https://catalog.update.microsoft.com/Search.aspx?q=KB5050009

eres Premium

Le 15/01/2025 à 12h21

D'après ce que j'ai compris dans la gestion des updates MS poussent progressivement des combinaisons de configurations (OS, CPU, GPU...) les plus références vers les plus exotiques ou "fiables" vers risquées afin de pouvoir détecter immédiatement celles qui pourraient poser problème et en limiter l'accès.
Logiquement tu devrais voir apparaitre la possibilité "prochainement" (pour moi Windows 10 Pro vers 7h ce matin, Windows 11 home vers 11h et Windows 11 pro vers 12h)

xillibit Premium

Modifié le 15/01/2025 à 13h21

Les patch tuesday ils arrivent au même moment chez moi sur windows update sur les Win 11 pro et Win 11 home, je les ai vus hier soir vers 19h00 sur Win 11 pro

PierroZ

Le 21/02/2025 à 16h53

Merci pour l'info, au bout du compte je l'ai récupéré le 27 Jan 25, soit 12 jours après ...
(Sur un Laptop avec un CPU d'architecture AMD Zen 3 et enrollé dans un AD Azure )

Passionnant-Centaure-unanime

Le 15/01/2025 à 14h15

L'article est incomplet. Vous oubliez les ajouts de bug qui vont avec

Colossale-Autruche-sélective

Le 15/01/2025 à 17h31

Quelques petites régressions par ci, par là... Comme ça, ça donnera toujours du boulot à venir pour les programmeurs Microsoft.

Si vraiment trop surchargés, Microsoft pourra même embaucher quelques développeurs Méta qui passaient dans le coin (et portant chacun un carton) et qui sont maintenant dispo...

gg40 Premium

Le 15/01/2025 à 15h06

Vue les scores des CVE on est quand même en droit de se demander pourquoi les correctifs ne sont pas poussés dès que possible...

Myifee

Modifié le 15/01/2025 à 16h10

J'ai regardé vite fait, les 3 CVE à 9.8 ne sont ni publiques ni exploitées, et la probalité d'exploit semble faible. De fait, rien de critique à date.
Le MSRC n'utilise le mécanisme d'Out of band (OOB) que pour les cas nécessitant un patching immédiat, et les clients tiennent à la régularité du patch tuesday sur lequel ils ont construit leurs process de QA/ring.

gg40 Premium

Le 15/01/2025 à 17h16

Ok merci pour les précisions :)

Vincent Hermann Équipe

Le 15/01/2025 à 19h01

Cela dit, c'est dans l'actu

Colossale-Autruche-sélective

Le 15/01/2025 à 17h34

Inny

Le 15/01/2025 à 17h02

Faut quand même les tester pour s'assurer que ça ne va pas mettre le boxon ailleurs dans le système.

Et il y a une sacrée quantité de configurations possibles pour ces patchs donc ça prend du temps.

Colossale-Autruche-sélective

Modifié le 15/01/2025 à 17h33

C'est sûr qu'une faille de 8,1 qui concerne les Remote Desktop Services, c'est comment dire :

"Du pain béni pour hackers..."

My name is ... Fred Premium

Le 15/01/2025 à 19h39

Recues ce soir (parce que j'ai vu un article parlant de ca et apres verification de Windows update

wanou Premium

Le 15/01/2025 à 23h02

Chouette, je vais encore avoir 100% d'utilisation CPU pendant un bon paquet de minutes pour cette mise à jour. Un gros bug que microsoft devrait corriger est l'usage immodéré du CPU pendant les mises à jour.

k0rnmuz3 Premium

Le 16/01/2025 à 10h04

J'ai jamais eu ce problème de CPU à 100% pendant les updates. Ce serait un problème sur les "petits" CPU ?

serpolet Premium

Le 16/01/2025 à 12h52

Même avec un Pentium Dual-Core antediluvien, aucun problème !

wanou Premium

Le 16/01/2025 à 23h19

Je suis très content pour vous mais j'ai ces problèmes sur plusieurs machines dont mon pc du travail et même avec celui de mon ancien employeur.