Windows 11 : Microsoft corrige 130 failles de sécurité, dont une zero-day critique 🔒

Click here to read in English

Microsoft vient de déployer une importante vague de correctifs pour ses systèmes et applications à l’occasion du Patch Tuesday de juillet 2025. Au total, 130 failles de sécurité ont été colmatées, dont une vulnérabilité zero-day critique affectant SQL Server. Cette mise à jour s’accompagne aussi de correctifs importants pour les logiciels Office, SharePoint, Hyper-V et plusieurs composants Windows, afin de limiter les risques d’attaques à distance.

Des failles critiques dans Office, SharePoint et Hyper-V ⚠️

Parmi les vulnérabilités les plus préoccupantes, celle référencée CVE-2025-49719 a été rendue publique avant même l’arrivée du correctif. Elle permettait à un attaquant d’accéder à des données stockées en mémoire non initialisée, sans aucune authentification préalable. Cette faille, due à une mauvaise validation des requêtes, aurait pu exposer des identifiants ou des fragments de données internes. Microsoft précise qu’elle a été identifiée en interne. Sa correction passe notamment par une mise à jour du moteur SQL Server et du pilote OLE DB.

Outre SQL Server, plusieurs failles critiques concernent les applications Office et les plateformes collaboratives de Microsoft. Un pirate pouvait ainsi exécuter du code malveillant à distance en incitant un utilisateur à ouvrir un document piégé. Cela peut survenir sans même ouvrir complètement le fichier, simplement via l’aperçu dans le volet de prévisualisation. Word, Excel ou SharePoint sont concernés, avec des scores de gravité pouvant atteindre 8,8 sur 10 selon l’échelle CVSS.

Un patch massif mais préventif🛡️

D’autres vulnérabilités ciblent l’infrastructure virtuelle de Windows, notamment Hyper-V. L’une d’elles, référencée CVE-2025-48822, repose sur une erreur dans la gestion des périphériques affectés à une machine virtuelle. Elle pourrait permettre à un acteur malveillant d’exécuter du code sur la machine hôte, compromettant ainsi l’ensemble du système. Même si ces vulnérabilités ne semblent pas avoir été exploitées, leur dangerosité impose des mises à jour immédiates.

Le bilan de ce Patch Tuesday est l’un des plus lourds de l’année. Avec 130 vulnérabilités corrigées, le total grimpe à 137 failles si l’on inclut celles traitées plus tôt dans le mois. Ces correctifs couvrent une large gamme de menaces : 53 élévations de privilèges, 41 exécutions de code à distance, 18 expositions d’informations sensibles, ainsi que plusieurs cas de spoofing, de déni de service et de contournement de sécurité.

Vigilance de mise 🚨

Si les failles d’exécution de code attirent naturellement l’attention, ce sont bien les élévations de privilèges qui dominent en nombre. Ces vulnérabilités permettent à un attaquant de prendre progressivement le contrôle d’un système.

Enfin, même si aucune de ces failles ne semble avoir été activement exploitée au moment de la publication, leur divulgation les rend désormais accessibles aux attaquants. Microsoft recommande donc à tous les utilisateurs d’installer les mises à jour sans attendre. Cela pourrait sécuriser leurs systèmes face à des menaces toujours plus complexes et rapides à émerger.

👉🏾 Et vous, mettez-vous régulièrement à jour vos appareils pour éviter les failles ? Dites-le-nous en commentaires ! 😊