Accueil Expert Patch Tuesday de janvier : Windows et Office à mettre à jour...

Patch Tuesday de janvier : Windows et Office à mettre à jour en priorité

Microsoft publie pour janvier des mises à jour qui résolvent 159 CVE uniques. Parmi elles se trouvent 3 exploitations Zero Day et 5 vulnérabilités divulguées publiquement. L’analyse d’Ivanti.

Les CVE exploitées concernent toutes l’intégration du noyau NT Windows Hyper-V VSP, ce qui fait de la mise à jour d’OS votre priorité la plus urgente ce mois-ci. Les divulgations publiques impactent les thèmes Windows, le programme d’installation de packages d’appli Windows (App Package Installer) et trois CVE de Microsoft Access. 10 CVE classées Critique affectent les composants de l’OS Windows et Microsoft Excel.

Vulnérabilités Microsoft exploitées

Microsoft résout une vulnérabilité d’élévation de privilèges dans l’intégration du noyau NT Windows Hyper-V VSP (CVE-2025-21333). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 7,8. Cette vulnérabilité affecte Microsoft Windows versions 10, 11 et Server 2025. Microsoft a été informé de l’exploitation de cette vulnérabilité. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau Critique.

Microsoft résout une vulnérabilité d’élévation de privilèges dans l’intégration du noyau NT Windows Hyper-V VSP (CVE-2025-21334). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 7,8. Cette vulnérabilité affecte Microsoft Windows versions 10, 11 et Server 2025. Microsoft a été informé de l’exploitation de cette vulnérabilité. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau Critique.

Microsoft résout une vulnérabilité d’élévation de privilèges dans l’intégration du noyau NT Windows Hyper-V VSP (CVE-2025-21335). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 7,8. Cette vulnérabilité affecte Microsoft Windows versions 10, 11 et Server 2025. Microsoft a été informé de l’exploitation de cette vulnérabilité. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau Critique.

Vulnérabilités Microsoft divulguées publiquement

Microsoft résout une vulnérabilité d’usurpation d’identité (Spoofing) dans les thèmes Windows (CVE-2025-21308). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 6,5. Cette vulnérabilité affecte Windows 10 et 11, ainsi que Server 2012 à 2025. Cette vulnérabilité a été divulguée publiquement, ce qui augmente les risques d’exploitation. Il existe des mesures d’atténuation qui peuvent limiter sa dangerosité ou les futurs risques de sécurité. Pour en savoir plus, consultez la section « Atténuations » de la page de cette CVE.

Microsoft résout une vulnérabilité d’élévation de privilèges dans le programme d’installation de packages d’appli (Windows App Package Installer – CVE-2025-21275). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 7,8. Cette vulnérabilité affecte Microsoft Windows versions 10, 11 et Server 2025. En l’exploitant, un pirate peut obtenir des privilèges de niveau SYSTEM. Cette CVE a été divulguée publiquement, ce qui augmente les risques d’exploitation.

Microsoft résout une vulnérabilité d’exécution de code à distance (RCE) dans Microsoft Access (CVE-2025-21186). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 7,8. Cette vulnérabilité affecte Microsoft Office 2019, Access 2016, Office LTSC 2021 et 2024, et Microsoft 365 Apps. Cette CVE a été divulguée publiquement, ce qui augmente les risques d’exploitation.

Microsoft résout une vulnérabilité d’exécution de code à distance (RCE) dans Microsoft Access (CVE-2025-21395). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 7,8. Cette vulnérabilité affecte Microsoft Office 2019, Access 2016, Office LTSC 2021 et 2024, et Microsoft 365 Apps. Cette CVE a été divulguée publiquement, ce qui augmente les risques d’exploitation.

Microsoft résout une vulnérabilité d’exécution de code à distance (RCE) dans Microsoft Access (CVE-2025-21366). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 7,8. Cette vulnérabilité affecte Microsoft Office 2019, Access 2016, Office LTSC 2021 et 2024, et Microsoft 365 Apps. Cette CVE a été divulguée publiquement, ce qui augmente les risques d’exploitation.

Vulnérabilités tierces

La mise à jour CPU Oracle du trimestre est prévue pour le 21 janvier, alors préparez-vous à recevoir des mises à jour des solutions Oracle, Java inclus. Une fois la mise à jour Java publiée, il faut s’attendre à ce que tous les frameworks Java se mettent à jour dans les quelques semaines qui suivront. 

Adobe publie des mises à jour pour Photoshop, Substance 3D Stager, Illustrator pour iPad, Animate et Substance 3D Designer, qui résolvent un total de 14 CVE. Toutes les CVE résolues sont de niveau Critique, mais aucune exploitation ni divulgation n’a été signalée.

La mise à jour de sécurité hebdomadaire de Google Chrome devrait arriver aujourd’hui ou demain, rapidement suivie d’une mise à jour pour Microsoft Edge. 

Priorités de mise à jour pour janvier 

  • Microsoft Windows est la priorité numéro 1 ce mois-ci, en raison des 3 CVE dont l’exploitation est connue, des 2 vulnérabilités divulguées publiquement et des 8 CVE classées Critique.
  • La priorité suivante, du point de vue de la gestion basée sur les risques, est Microsoft Office. La mise à jour du mois résout 3 CVE à divulgation publique dans Access et 2 CVE critiques dans Excel. Ces deux CVE Excel pourraient permettre d’utiliser le volet Aperçu comme vecteur d’attaque, ce qui en fait une cible de choix pour les pirates. 
  • Vérifiez que vos navigateurs sont bien à jour. Mozilla a publié une mise à jour la semaine dernière et Google Chrome et Microsoft Edge sont mis à jour chaque semaine avec des correctifs de sécurité.