Le premier Patch Tuesday de 2025 de Microsoft, publié le 14 janvier, a apporté un nombre record de 159 correctifs de sécurité, couvrant des vulnérabilités dans Windows, Microsoft Office, Edge et d’autres services. Cette mise à jour est la plus importante de ces dernières années, avec plus du double du nombre habituel de correctifs.
Points clés du Patch Tuesday de janvier 2025
- 159 vulnérabilités corrigées, dont 8 critiques.
- 3 vulnérabilités Windows déjà exploitées activement.
- 5 vulnérabilités supplémentaires étaient connues publiquement avant la publication du correctif.
- Mises à jour majeures pour Windows, Office et Microsoft Edge.
- Prochain Patch Tuesday prévu pour le 11 février 2025.
resize=1024%2C576&quality=50&strip=all
Vulnérabilités de sécurité Windows corrigées
Windows représentait 132 des vulnérabilités corrigées, couvrant les versions prises en charge comme Windows 10, Windows 11 et Windows Server.
Bien que Windows 7 et 8.1 ne soient plus mentionnés dans les mises à jour de sécurité de Microsoft, ils peuvent toujours être vulnérables à des menaces similaires. Les utilisateurs de ces anciennes versions sont fortement encouragés à passer à Windows 10 ou 11 pour bénéficier d’une protection continue.
>>>DB-L20 pour Sanyo Xacti DMX-C1 DMX-C4 DMX-C4D DMX-C4L
Vulnérabilités Windows exploitées activement
Microsoft a confirmé que trois vulnérabilités dans Windows Hyper-V étaient activement exploitées avant cette mise à jour :
- CVE-2025-21333, CVE-2025-21334 et CVE-2025-21335
- Permettent aux attaquants ayant accès à une machine virtuelle invitée d’exécuter du code malveillant sur le système hôte
- Peuvent potentiellement compromettre l’ensemble des environnements virtualisés
Vulnérabilités critiques de Windows
Microsoft a classé 8 vulnérabilités Windows comme critiques, notamment :
- CVE-2025-21298 (Windows OLE – CVSS 9.8)
- Les attaquants peuvent exploiter cette faille via un e-mail spécialement conçu ouvert dans Outlook.
- La fenêtre de prévisualisation n’est pas un vecteur d’attaque, mais l’ouverture d’un aperçu de pièce jointe pourrait permettre une injection et exécution de code.
- CVE-2025-21297 & CVE-2025-21309 (Remote Desktop Gateway – CVSS 8.1)
- Ces failles permettent aux attaquants d’exploiter Windows Remote Desktop Gateway sans nécessiter d’identifiants de connexion.
- Les pirates doivent déclencher une condition de course pour exploiter une vulnérabilité use-after-free.
Vulnérabilités corrigées dans Microsoft Office
Microsoft a corrigé 20 vulnérabilités affectant les applications Office, dont des failles de RCE dans :
- Word, Excel, Outlook, OneNote, Visio et SharePoint Server
- Trois vulnérabilités zero-day dans Access
>>>Ni2020TM29 pour Trimble TX series 3D TX5 TX6 TX8
Vulnérabilités corrigées dans Microsoft Edge
La dernière mise à jour de sécurité pour Microsoft Edge est la version 131.0.2903.146 (publiée le 10 janvier 2025). Cette mise à jour est basée sur Chromium 131.0.6778.265.
Conclusion
Avec 159 failles de sécurité corrigées, cette mise à jour est l’une des plus complètes de ces dernières années. Les utilisateurs et entreprises doivent appliquer ces mises à jour dès que possible, notamment celles affectant Windows Hyper-V, Remote Desktop Services et Microsoft Office.