Pour son grand rendez-vous mensuel de sécurité, Microsoft met les bouchées doubles. Ce Patch Tuesday d'août 2025 s'attaque à plus de 100 failles, dont une vulnérabilité critique déjà connue du public.

Ce mois-ci, Microsoft a publié des correctifs pour 107 vulnérabilités au total. © Shutterstock
Ce mois-ci, Microsoft a publié des correctifs pour 107 vulnérabilités au total. © Shutterstock
L'info en 3 points
  • Microsoft publie 107 correctifs pour le Patch Tuesday d'août 2025, couvrant Windows, Azure et applications serveur.
  • Une faille zero-day Kerberos (CVE-2025-53779) divulguée public place la mise à jour en priorité pour les admins.
  • Treize failles critiques, dont RCE dans GDI+ (CVE-2025-53766) et correctifs complexes pour Exchange hybrides.

Comme chaque deuxième mardi du mois, les bulletins de sécurité de la firme de Redmond sont scrutés avec la plus grande attention. Cette édition est particulièrement dense et couvre un large spectre de produits, de Windows à Azure. L'application rapide de ces correctifs est plus que jamais un enjeu majeur pour se prémunir contre des risques d'exploitation bien réels.

Une faille zero-day et des brèches critiques

Au cœur de cette vague de 107 correctifs se trouve une faille zero-day, identifiée sous le code CVE-2025-53779. Il s'agit d'une vulnérabilité d'élévation de privilèges (Elevation of Privilege) dans le protocole d'authentification Windows Kerberos. Bien que non exploitée activement selon Microsoft, sa divulgation publique la place au sommet de la liste des priorités pour les administrateurs système.

Parmi les 13 failles jugées « critiques », neuf permettent l'exécution de code à distance (Remote Code Execution ou RCE), le scénario le plus redouté. La plus sévère, CVE-2025-53766, affecte le composant Windows GDI+ et atteint un score de dangerosité de 9.8 sur 10. D'autres brèches RCE critiques visent des composants clés comme le noyau graphique DirectX et le service Microsoft Message Queuing, démontrant l'étendue des vecteurs d'attaque potentiels.

Un impact sur tout l'écosystème Microsoft

La portée des correctifs dépasse largement le seul système d'exploitation Windows. Des mises à jour sont également déployées pour Microsoft Office, Exchange Server, SQL Server, et jusqu'aux services cloud comme Azure. Cette couverture transversale montre bien que la sécurité est une chaîne où chaque maillon, du poste de travail à l'infrastructure cloud, doit être renforcé.

Le cas des serveurs de messagerie Exchange illustre la complexité de l'exercice. La correction de la faille CVE-2025-53786 ne se contente pas d'un simple patch. Elle requiert des interventions manuelles pour sécuriser la connexion hybride avec Office 365, une contrainte qui pourrait ralentir son déploiement et laisser des serveurs exposés plus longtemps.

Cette nouvelle livraison massive de correctifs lance une véritable course contre la montre pour les DSI et les administrateurs, pour qui le mois d'août n'est décidément pas signe de repos. Les acteurs malveillants n'attendront pas pour analyser ces patchs et développer des outils d'exploitation ciblant les systèmes vulnérables. Une fois de plus, la réactivité dans la gestion des mises à jour s'impose comme la pierre angulaire de la cyberdéfense moderne.

Source : Cybersecurity News