Sécurité renforcée, stabilité améliorée et dernier tour de piste pour Windows 10. La mise à jour d’octobre coche toutes les cases d’un Patch Tuesday complet.
Comme chaque deuxième mardi du mois, Microsoft perpétue sa tradition du Patch Tuesday avec une nouvelle salve de correctifs de sécurité pour Windows 11. Sans surprise, l’édition d’octobre 2025 ne fait pas exception, alors que la firme annonce avoir patché quelque 172 vulnérabilités plus ou moins importantes, dont six failles zero day, et deux failles activement exploitées à l’heure où nous rédigeons ces lignes. À votre place, on n’attendrait pas plus longtemps avant d’aller faire un petit coucou à Windows Update.
Un Patch Tuesday pour renforcer la sécurité matérielle et logicielle du système
Parmi les 172 failles corrigées ce mois-ci, les deux plus urgentes, notées CVSS 7.8 et déjà inscrites dans le catalogue des vulnérabilités activement exploitées tenu par la CISA, permettaient d’obtenir des privilèges élevés sur Windows.
La première (CVE-2025-24990) touche un ancien pilote de modem Agere intégré depuis des années au système. En cause, une erreur de gestion mémoire que des attaquants pouvaient manipuler pour obtenir les droits admin sur la machine. Microsoft a préféré retirer complètement le fichier concerné (ltmdm64.sys), ce qui désactive de fait tout matériel de fax modem encore présent sur certains postes.
La seconde (CVE-2025-59230) vise le service Remote Access Connection Manager, utilisé notamment pour les connexions VPN. Un défaut de contrôle des accès offrait à un utilisateur local la possibilité d’obtenir les privilèges SYSTEM.
Quatre autres failles zero-day viennent compléter la liste. CVE-2025-47827 permet de contourner Secure Boot sur certaines versions d’IGEL OS, en chargeant des images non vérifiées. CVE-2025-0033 affecte les processeurs AMD EPYC équipés de SEV-SNP, exposant les environnements virtualisés à un risque de corruption mémoire. CVE-2025-24052 est un doublon du bug Agere et concerne toutes les versions de Windows, y compris lorsque le modem n’est pas utilisé. Enfin, CVE-2025-2884, détectée dans l’implémentation de la norme TPM 2.0, peut entraîner une fuite d’informations ou un déni de service du module de sécurité.
Au total, Microsoft aura corrigé 80 vulnérabilités d’élévation de privilèges, 31 pouvant entraîner une exécution de code à distance, 28 susceptibles de provoquer une fuite d’informations, 11 liées à un déni de service, 11 permettant de contourner des mécanismes de sécurité et 10 exposant à des attaques d’usurpation. Un bilan dense, à la mesure de la portée de ce Patch Tuesday, qui consolide la sécurité de l’ensemble de l’écosystème Windows, du noyau aux services connectés.
Améliorations notables et fin de parcours pour Windows 10
En marge des patchs de sécurité, la mise à jour KB5066835 corrige aussi plusieurs problèmes qui affectaient l’expérience utilisateur, à commencer par un blocage de l’écran d’aperçu avant impression dans les navigateurs Chromium et un bug empêchant certaines applications et jeux de répondre lorsqu’une connexion était effectuée uniquement avec une manette. Microsoft indique aussi avoir résolu un problème de configuration de Windows Hello via les caméras infrarouges USB, ainsi que des dysfonctionnements liés à PowerShell et Windows Remote Management.
Malgré ces correctifs, certains points restent en suspens. Les applications de lecture de contenu protégé, comme les lecteurs Blu-ray, DVD ou Digital TV, continuent de rencontrer des erreurs de lecture et des interruptions lorsqu’elles appliquent certaines protections HDCP ou DRM audio. Le problème est partiellement résolu depuis la mise à jour de septembre, mais Microsoft reconnaît que certaines applications restent concernées et promet un correctif durable ultérieur.
On rappellera enfin que ce Patch Tuesday d’octobre marque officiellement la fin de vie de Windows 10, qui reçoit aujourd’hui ses derniers correctifs de sécurité via Windows Update. Les particuliers pourront éventuellement bénéficier d’une année supplémentaire de mises à jour via le programme Extended Security Updates (ESU), gratuit s’ils souscrivent avec un compte Microsoft ou payant via un achat unique dans le Microsoft Store. Les entreprises disposent quant à elles d’une marge plus confortable, avec la possibilité d’étendre cette période de support jusqu’à trois ans moyennant souscription payante annuelle.
Sources : Microsoft [1], Microsoft [2]
