Microsoft vient de publier son Patch Tuesday de juillet 2025. Au programme : 130 failles de sécurité colmatées, dont une vulnérabilité zero-day dans SQL Server et plusieurs failles importantes touchant les applications Office.
- Microsoft a corrigé 130 failles de sécurité, incluant une vulnérabilité zero-day dans SQL Server, lors du Patch Tuesday de juillet 2025.
- Des failles critiques dans Office et SharePoint permettent l'exécution de code à distance via des documents piégés.
- Aucune exploitation active recensée, mais les mises à jour sont impératives pour éviter des attaques potentielles.
Microsoft vient de publier une nouvelle salve de correctifs pour Windows 11 dans le cadre du Patch Tuesday de juillet, visant à colmater 130 failles de sécurité dans ses produits. Parmi les cas les plus sensibles, on retrouve une vulnérabilité zero-day dans SQL Server, ainsi que plusieurs failles qualifiées de critiques par Microsoft dans Office, SharePoint ou certains services système, pour la plupart susceptibles d’être exploitées à distance.
Une faille zero-day déjà divulguée avant le Patch Tuesday
Ce mois-ci, Microsoft colmate une faille sensible dans SQL Server, rendue publique avant même la diffusion du correctif. Référencée sous le numéro CVE-2025-49719, elle permet à un attaquant non authentifié, via une simple requête réseau, d’accéder à des données stockées en mémoire non initialisée. Autrement dit, le serveur peut potentiellement divulguer des fragments d’informations internes, comme des identifiants, des morceaux de requêtes précédentes ou des données techniques propres au moteur SQL.
Microsoft a précisé que cette vulnérabilité était liée à une validation insuffisante des entrées. Le correctif repose sur la mise à jour du moteur SQL Server, mais aussi sur l’installation du pilote OLE DB dans ses versions 18 ou 19. L’entreprise n’a par ailleurs pas indiqué comment la faille avait été rendue publique, mais elle a été découverte en interne, par l’un de ses chercheurs en sécurité.
D’autres vulnérabilités importantes concernent cette fois les applications Office et les services collaboratifs. Plusieurs d’entre elles permettent l’exécution de code à distance, parfois simplement en ouvrant un document piégé ou en l’affichant via le volet de prévisualisation. Des failles de ce type sont documentées dans Word (CVE-2025-49698, 49700, 49703), dans Excel (CVE-2025-49711) ou encore dans SharePoint (CVE-2025-49704), avec un score CVSS atteignant 8.8 pour certaines.
Enfin, Microsoft juge également critique une faille dans Hyper-V (CVE-2025-48822), liée au système d’affectation directe de périphériques (DDA). Exploitée depuis une machine virtuelle malveillante, elle pourrait permettre à un attaquant non authentifié d’exécuter du code sur l’hôte via une lecture hors limites.
130 failles corrigées en tout, aucune exploitation active recensée… pour le moment
En dehors des vulnérabilités les plus critiques, Microsoft corrige ce mois-ci un total de 130 failles de sécurité dans ses produits. Ce chiffre porte à 137 le bilan complet depuis le dernier Patch Tuesday, en incluant les correctifs publiés plus tôt dans le mois pour Microsoft Edge et pour les composants Mariner (distribution Linux développée par Microsoft pour ses propres services cloud, conteneurs et environnements internes).
Dans le détail, l’éditeur recense :
- 53 vulnérabilités d’élévation de privilèges, qui permettent à un attaquant d’obtenir des droits plus élevés sur le système, souvent après une première compromission ;
- 41 failles d’exécution de code à distance (RCE), exploitables pour injecter et exécuter du code malveillant à distance, parfois sans interaction ;
- 18 risques d’exposition d’informations, liés à la divulgation accidentelle de données sensibles, qu’elles soient en mémoire, en cache ou en transit ;
- 8 contournements de fonctions de sécurité, visant à désactiver ou esquiver des mécanismes de protection comme le sandboxing ou la vérification d’authenticité ;
- 6 menaces de déni de service, exploitables pour provoquer un plantage ou une interruption de service sur une machine ou un composant réseau ;
- 4 vulnérabilités de type spoofing, susceptibles de permettre à un attaquant de tromper un système d’identification ou de se faire passer pour un service légitime.
Comme souvent, les exécutions de code à distance concentrent l’attention en raison de leur potentiel d’exploitation immédiate, mais les élévations de privilèges forment à elles seules près de la moitié du lot.
Une fois n’est pas coutume, aucune des vulnérabilités répertoriées ce mois-ci ne semble avoir été activement exploitée. Ce qui ne vous dispense évidemment pas de faire vos mises à jour rapidement, maintenant qu’elles ont toutes été rendues publiques.
Source : Microsoft
