Le Patch Tuesday de mai résout 5 vulnérabilités activement exploitées et 2 ayant été publiquement divulguées. « Spoiler Alert » : ces cinq Zero Day sont toutes résolues par le déploiement de la mise à jour d’OS Windows. L’analyse d’Ivanti.
Microsoft résout ce mois-ci un total de 72 nouvelles CVE, dont 6 sont classées “Critique”. Les 5 vulnérabilités Zero Day sont classées “Important”, mais l’application d’un modèle de scores ajustés sur le risque les fait toutes passer au niveau “Critique”.
Vulnérabilités Microsoft exploitées
Microsoft résout une vulnérabilité EP (élévation de privilèges) dans le pilote de fonction connexe Windows (Ancillary Function Driver) pour WinSock (CVE-2025-32709), qui pourrait permettre à un pirate d’élever les privilèges en local pour obtenir un accès Administrateur. Cette vulnérabilité affecte Windows Server 2012 et les versions d’OS plus récentes. L’exploitation de cette vulnérabilité sur le terrain a été confirmée. Microsoft lui attribue le niveau de gravité “Important” et son score CVSS 3.1 est de 7,8. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau “Critique”.
Microsoft résout des vulnérabilités EP (élévation de privilèges) dans le pilote du système de fichiers journaux communs Windows (CVE-2025-32706) et (CVE-2025-32701), qui pourraient permettre à un pirate d’élever les privilèges en local pour obtenir un accès SYSTEM. Ces vulnérabilités concernent toutes les versions de l’OS Windows. L’exploitation de ces vulnérabilités sur le terrain a été confirmée. Le score de gravité Microsoft pour ces deux CVE est “Important “et leur CVSS 3.1 est de 7,8. La priorisation basée sur les risques réclame de traiter ces vulnérabilités comme étant de niveau “Critique”.
Microsoft résout une vulnérabilité EP (élévation de privilèges) dans la bibliothèque principale du Gestionnaire de fenêtrage Microsoft (CVE-2025-30400), qui pourrait permettre à un pirate d’élever les privilèges en local pour obtenir un accès SYSTEM. Cette vulnérabilité affecte Windows 10, Server 2016 et les versions d’OS plus récentes. L’exploitation de cette vulnérabilité sur le terrain a été confirmée. Microsoft lui attribue le niveau de gravité Important et son score CVSS 3.1 est de 7,8. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau Critique.
Microsoft résout une vulnérabilité MC (corruption de mémoire) dans le moteur de scripts Microsoft (CVE-2025-30397), qui pourrait permettre à un pirate d’exécuter du code sur un réseau. Cette vulnérabilité concerne toutes les versions de l’OS Windows. L’exploitation de cette vulnérabilité sur le terrain a été confirmée. Microsoft lui attribue le niveau de gravité “Important” et son score CVSS 3.1 est de 7,8. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau “Critique”.
Vulnérabilités Microsoft divulguées publiquement
Microsoft résout une vulnérabilité RCE (exécution de code à distance) dans Visual Studio (CVE-2025-30397), qui pourrait permettre à un pirate d’exécuter du code en local. Cette vulnérabilité affecte Visual Studio 2019 et 2022. Cette vulnérabilité a été divulguée publiquement, mais la maturité du code est “Unproven” (non prouvé) et son niveau d’exploitabilité “Less Likely” (moins probable).
Microsoft résout une vulnérabilité d’usurpation d’identité (spoofing) dans Microsoft Defender (CVE-2025-26685), qui pourrait permettre à un pirate d’exécuter une usurpation d’identité sur un réseau adjacent. Cette vulnérabilité concerne Microsoft Defender for Identity. Cette vulnérabilité a été divulguée publiquement, mais la maturité du code est “Unprove” (non prouvé) et son niveau d’exploitabilité “Less Likely” (moins probable).
Vulnérabilités tierces
- Adobe publie 13 mises à jour ce mois-ci pour résoudre 39 CVE, dont 33 sont marquées “Critique”. Pour en savoir plus, cliquez ici pour consulter les dernières mises à jour de sécurité produit Adobe.
- Google Chrome prévoit de publier bientôt une mise à jour hebdomadaire, ne la manquez pas.
L’IA fait exploser le poids des mises à jour
Notez que les mises à jour Windows 11 et Server 2025 du mois incluent de nouvelles fonctions IA, mais elles sont bien plus lourdes. Littéralement. Elles font environ 4 Go ! Ces nouvelles fonctions IA sont notamment Recall, qui utilise Windows Copilot Runtime pour vous aider à retrouver tout ce que vous avez vu sur votre PC. Au menu également : Click to Do, qui s’enrichit de nouvelles actions intelligentes sur le texte, comme le résumé de d’un bloc de texte sélectionné. On y trouve aussi une version améliorée de Windows Search.
