Microsoft a publié les mises à jour d’août du patch d’août, adressant 107 nouvelles vulnérabilités de sécurité sur ses produits, sans exploits actifs confirmés.
La version de mardi d’août de mardi de Microsoft a introduit un ensemble complet de mises à jour de sécurité, corrigeant un total de 107 vulnérabilités distinctes sur divers produits et services de Microsoft. Microsoft a spécifié qu’aucune de ces vulnérabilités identifiées n’était activement exploitée dans la nature au moment de la version de mise à jour. Le prochain correctif prévu mardi pour Microsoft est le 9 septembre 2025.
Une partie importante des vulnérabilités abordées, en particulier de 67, a été trouvée et fixée par la suite entre les versions prises en charge du système d’exploitation Windows. Ceux-ci incluent Windows 10, Windows 11 et Windows Server. Il est important de noter que les utilisateurs de Windows 7 et Windows 8.1 n’ont pas reçu de mises à jour de sécurité pendant une période prolongée, ce qui rend ces systèmes potentiellement vulnérables. La mise à niveau vers Windows 11 24H2 est recommandée pour les utilisateurs de ces anciens systèmes d’exploitation, à condition que leurs exigences de système soient satisfaites, pour assurer une réception continue de mise à jour de sécurité.
Parmi les vulnérabilités critiques identifiées dans Windows figurent CVE-2025-53766 et CVE-2025-50165. CVE-2025-53766 est un défaut d’exécution de code distant (RCE) affectant l’API de l’interface du périphérique graphique, qui est utilisé par des applications graphiques. CVE-2025-50165 est une autre vulnérabilité RCE, située dans le composant graphique Windows. L’exploitation de l’une de ces vulnérabilités pourrait permettre à un attaquant d’injecter et d’exécuter du code arbitraire sur un système sans nécessiter d’interaction utilisateur. Pour CVE-2025-53766, la simple visite d’un site Web spécialement conçu est suffisante pour une attaque. Pour CVE-2025-50165, un attaquant pourrait réaliser l’exécution du code en créant une image malveillante intégrée dans une page Web.
Microsoft a également classé trois vulnérabilités au sein de Hyper-V comme critique. CVE-2025-48807 est une vulnérabilité RCE qui, si elle est exploitée, pourrait permettre l’exécution de code sur le système hôte à une machine virtuelle invitée. Le CVE-2025-53781 est une vulnérabilité de fuite de données, permettant potentiellement un accès non autorisé à des informations confidentielles. Le CVE-2025-49707 est une vulnérabilité d’usurpation qui pourrait permettre à une machine virtuelle d’identifier une identité différente lors des communications avec des systèmes externes.
Le service de routage et d’accès à distance (RRAS) présentait 12 vulnérabilités abordées, toutes classées comme risque élevé. La moitié d’entre elles étaient des vulnérabilités RCE, tandis que l’autre moitié étaient des vulnérabilités de fuite de données. Une vulnérabilité, CVE-2025-53779 dans Kerberos pour Windows Server 2025, avait été précédemment publiée. Cette vulnérabilité, classée comme risque moyen par Microsoft, pourrait permettre à un attaquant d’obtenir les droits de l’administrateur pour les domaines dans des conditions spécifiques.
Au sein de la famille des produits Microsoft Office, 18 vulnérabilités ont été fixées, dont 16 vulnérabilités RCE. Quatre de ces vulnérabilités RCE, dont deux sont spécifiquement dans Word, ont été désignées comme critiques par Microsoft car la fenêtre d’aperçu sert de vecteur d’attaque. Cela signifie qu’un exploit pourrait se produire simplement en affichant un fichier malveillant dans le volet d’aperçu, sans que l’utilisateur n’ait besoin de cliquer sur ou d’ouvrir le fichier. Les vulnérabilités de bureau restantes ont été classées comme un risque élevé, obligeant généralement l’utilisateur à ouvrir un fichier spécialement préparé pour l’exécution du code d’exploit.
Le navigateur Edge a également reçu des mises à jour de sécurité. La version 139.0.3405.86 de Edge a été publiée le 7 août, construite sur Chromium 139.0.7258.67, et inclus des correctifs pour plusieurs vulnérabilités présentes dans la base de chrome. Edge pour Android, version 139.0.3405.86, a été publié légèrement plus tard et a incorporé des correctifs pour deux vulnérabilités spécifiques au navigateur Edge.
