La série de mises à jour standard résout 57 CVE dans l’OS Windows, Office, .Net et Visual Studio, avec quelques mises à jour de composants Azure en sus. Google Chrome a été mis à jour avant le Patch Tuesday (le 10 mars), et Adobe a publié 7 mises à jour, notamment pour Adobe Acrobat et Acrobat Reader. L’analyse d’Ivanti pour nos lecteurs.
Dans la série de mars, on compte 7 CVE dont l’exploitation est connue.
- Microsoft résout 6 CVE exploitées. Les exploitations Zero Day concernent Microsoft Management Console, NTFS, Fast FAT et le sous-système de noyau (kernel) Win32. Ces six exploitations sont toutes marquées Important, avec des scores CVSS compris entre 4,6 et 7,8. La bonne nouvelle, c’est qu’elles sont toutes résolues par la mise à jour de mars de l’OS Windows. Cette seule mise à jour élimine donc la majorité des risques immédiats.
- Google résout une CVE dont l’exploitation est connue (CVE-2025-24201). D’après les notes de publication Google, il s’agit d’un problème d’écriture hors limites du processeur graphique (GPU) sur Mac, signalé par l’équipe SEAR (Apple Security Engineering and Architecture). Donc, probablement un souci pour les utilisateurs de Mac. (D’après les notes de publication Microsoft, il semble qu’Edge n’ait pas résolu les 5 CVE dans la mise à jour du 10 mars.)
Vulnérabilités Microsoft exploitées
Microsoft résout une vulnérabilité de contournement des fonctions de sécurité dans Microsoft Management Console (CVE-2025-26633). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 7. Elle concerne toutes les éditions de Windows, de Windows 10 à 11 et de Server 2008 à Server 2025. Microsoft a confirmé que cette CVE avait été exploitée sur le terrain. Pour l’exploiter, un pirate devrait préparer l’environnement cible en réalisant des opérations supplémentaires, mais cette vulnérabilité peut être exploitée à l’aide de différentes tactiques ciblant l’utilisateur, comme la messagerie instantanée, les e-mails et les attaques via le Web. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau Critique.
Microsoft résout une vulnérabilité d’exécution de code à distance (RCE) dans Windows NTFS (CVE-2025-24993). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 7,8. Elle concerne toutes les éditions de Windows, de Windows 10 à 11 et de Server 2008 à Server 2025. Microsoft a confirmé que cette CVE avait été exploitée sur le terrain. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau Critique.
Microsoft résout une vulnérabilité de divulgation d’informations dans Windows NTFS (CVE-2025-24991). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 5,5. Elle concerne toutes les éditions de Windows, de Windows 10 à 11 et de Server 2008 à Server 2025. Microsoft a confirmé que cette CVE avait été exploitée sur le terrain. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau Critique.
Microsoft résout une vulnérabilité d’exécution de code à distance (RCE) portant sur le pilote de système de fichiers FAT Windows Fast (CVE-2025-24985). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 7,8. Elle concerne toutes les éditions de Windows, de Windows 10 à 11 et de Server 2008 à Server 2025. Microsoft a confirmé que cette CVE avait été exploitée sur le terrain. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau Critique.
Microsoft résout une vulnérabilité de divulgation d’informations dans Windows NTFS (CVE-2025-24984). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 4,6. Elle concerne toutes les éditions de Windows, de Windows 10 à 11 et de Server 2008 à Server 2025. Microsoft a confirmé que cette CVE avait été exploitée sur le terrain. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau Critique.
Microsoft résout une vulnérabilité d’élévation de privilèges dans le sous-système de noyau (kernel) Windows Win32 (CVE-2025-24983). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 7. Elle concerne d’anciennes éditions de Windows, comme Windows 10 et Server 2008 à Server 2016. Microsoft a confirmé que cette CVE avait été exploitée sur le terrain. En l’exploitant, un pirate peut obtenir des privilèges de niveau SYSTEM. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau Critique.
Vulnérabilités Microsoft divulguées publiquement
Microsoft résout une vulnérabilité d’exécution de code à distance (RCE) dans Microsoft Access (CVE-2025-26630). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 7,8. Cette vulnérabilité concerne Microsoft Access 2016, Office 2019, Office LTSC 2021 et 2024, et Microsoft 365 Apps for Enterprise. Microsoft a confirmé que cette CVE avait été divulguée publiquement, mais la maturité du code n’est pas encore prouvée. Cette divulgation pourrait fournir aux pirates des informations supplémentaires pour créer une exploitation, mais le manque d’échantillons de code rendra l’opération plus difficile. Avec la priorisation basée sur les risques, le niveau de risque indiqué pour une divulgation sans code fonctionnel est légèrement plus élevé, mais pas assez pour faire passer cette CVE au niveau Critique.
Vulnérabilités tierces
- Google Chrome a publié des mises à jour le 10 mars pour résoudre 5 CVE, dont l’une a été exploitée (CVE-2025-24201). Cette exploitation est documentée comme problème d’écriture hors limites du processeur graphique (GPU) sur Mac. Cette mise à jour est plus prioritaire pour macOS que pour Windows.
- Adobe publie 7 mises à jour pour résoudre 37 CVE. Ces mises à jour concernent Adobe Acrobat and Reader, Illustrator, InDesign, Substance 3D Sampler, Painter, Modeler et Designer. Toutes sont classées Priorité 3 et peuvent être traitées au cours de vos opérations de mise à jour mensuelle.
Priorités de mise à jour pour mars
- La mise à jour de l’OS Windows est la priorité numéro 1 ce mois-ci. Elle résout 6 CVE dont l’exploitation est connue.
- La mise à jour Google Chrome du 10 mars résout 1 vulnérabilité macOS dont l’exploitation est connue, ce qui fait de la mise à jour Chrome pour macOS une priorité.
