Patch Tuesday Microsoft : Plus de 100 Correctifs, dont Azure OpenAI et Failles Critiques
Le Patch Tuesday d’août 2025 de Microsoft a livré une vague importante de mises à jour de sécurité, corrigeant plus de 100 vulnérabilités à travers son vaste écosystème logiciel et soulignant la nature implacable des cybermenaces. La publication de ce mois, comprenant de 107 à 111 correctifs, inclut une faille critique de corruption de mémoire à “risque extrêmement élevé” dans son composant graphique Windows, aux côtés d’une vulnérabilité zero-day divulguée publiquement et de nombreux autres problèmes graves qui exigent une attention immédiate de la part des utilisateurs et des organisations.
La découverte la plus alarmante est CVE-2025-50165, une vulnérabilité d’exécution de code à distance (RCE) résidant dans le composant graphique Windows. Évaluée avec un score CVSS critique de 9.8, cette faille est un type de corruption de mémoire où un attaquant pourrait exécuter du code malveillant sur un réseau sans nécessiter d’interaction de l’utilisateur. Le danger s’intensifie car l’exploitation peut se produire simplement en visualisant une image JPEG spécialement conçue et intégrée dans des documents Office ou d’autres fichiers tiers. De telles vulnérabilités sont particulièrement insidieuses car elles peuvent être déclenchées sans que la victime ne réalise même qu’elle a ouvert un fichier compromis, conduisant potentiellement à une prise de contrôle complète du système.
Au-delà du composant graphique, Microsoft a également corrigé CVE-2025-53766, une autre faille RCE critique dans l’Interface de périphérique graphique Windows (GDI+), affichant également un score CVSS de 9.8. Ce dépassement de tampon basé sur le tas peut également être exploité à distance sans interaction de l’utilisateur, par exemple, via le traitement de documents sur des services web.
Parmi les 13 à 16 vulnérabilités critiques corrigées, une vulnérabilité zero-day notable divulguée publiquement, CVE-2025-53779, se distingue. Cette faille d’élévation de privilèges (EoP), nommée “BadSuccessor” par les chercheurs, affecte Windows Kerberos, le protocole d’authentification réseau. Bien que son score CVSS soit de 7.2 et que son exploitation soit jugée “moins probable” en raison de la nécessité d’un accès préexistant spécifique aux attributs du compte de service géré délégué (dMSA), sa divulgation publique en fait une préoccupation majeure. Une exploitation réussie pourrait accorder à un attaquant des privilèges d’administrateur de domaine, posant un risque grave pour les environnements Active Directory.
D’autres correctifs critiques incluent CVE-2025-53786, une vulnérabilité d’élévation de privilèges dans les déploiements hybrides de Microsoft Exchange Server. Cette faille, avec un score CVSS de 8.0, pourrait permettre à un attaquant de pivoter d’un serveur Exchange sur site compromis pour escalader les privilèges au sein de l’environnement cloud connecté de l’organisation, y compris Exchange Online et d’autres services Microsoft 365. La résolution de cette vulnérabilité particulière nécessite plus que la simple installation du correctif ; des instructions manuelles spécifiques de Microsoft pour la configuration d’un service dédié afin de sécuriser la connexion hybride doivent également être suivies.
D’autres vulnérabilités significatives corrigées ce mois-ci incluent des failles critiques d’exécution de code à distance dans Microsoft Office (CVE-2025-53731, CVE-2025-53740) découlant de problèmes de corruption de mémoire après libération (use-after-free), qui pourraient entraîner une exécution de code local sans interaction de l’utilisateur, le volet d’aperçu servant de vecteur d’attaque potentiel. Une vulnérabilité critique d’exécution de code à distance dans SharePoint (CVE-2025-49712) et une élévation de privilèges critique dans Windows NTLM (CVE-2025-53778), permettant aux attaquants peu privilégiés d’obtenir un accès de niveau SYSTÈME, ont également été corrigées. Même Microsoft Teams a reçu un correctif RCE critique (CVE-2025-53783), un dépassement de tampon basé sur le tas qui, bien que complexe à exploiter et nécessitant une interaction de l’utilisateur, pourrait permettre à un attaquant de lire, écrire et supprimer les messages et données de l’utilisateur.
En plus de ces mises à jour du système central, Microsoft a également déployé des mises à jour de sécurité pour Azure OpenAI Service. Il est important de noter que de nombreux CVE liés aux services cloud impactant Azure OpenAI, Azure Portal et Microsoft 365 Copilot BizChat ont déjà été corrigés par Microsoft côté service, ce qui signifie qu’aucune action directe du client n’est généralement requise pour ces correctifs spécifiques. Cette attention continue aux services liés à l’IA souligne l’évolution du paysage de la sécurité à mesure que les capacités d’intelligence artificielle, y compris les nouveaux modèles GPT-5, la génération d’images (GPT-image-1) et la génération de vidéos (Sora), continuent de s’intégrer dans les environnements d’entreprise.
Le volume et la nature critique des vulnérabilités corrigées en août servent de rappel brutal des menaces persistantes auxquelles est confrontée l’infrastructure numérique. Les administrateurs système et les utilisateurs individuels sont fortement invités à appliquer ces mises à jour sans délai pour protéger leurs systèmes contre d’éventuelles exploitations et pour sauvegarder les données sensibles. La priorisation de ces correctifs n’est pas simplement une recommandation, mais une étape cruciale pour maintenir une posture de sécurité robuste dans le monde interconnecté d’aujourd’hui.