Microsoft publie son Patch Tuesday de novembre 2025. Surtout par rapport au gros Patch Tuesday d'octobre, il est relativement léger avec la correction d'une soixantaine de vulnérabilités de sécurité. Parmi les 63 failles, cinq sont critiques, tandis qu'une faille de dangerosité importante est zero-day.
Sans patch disponible, CVE-2025-62215 a fait l'objet d'une exploitation dans la nature. Elle est de type élévation de privilèges et affecte le noyau Windows. Pour le moment, Microsoft reste discret sur l'exploitation de cette vulnérabilité.
" L'exécution concurrente utilisant une ressource partagée avec une synchronisation incorrecte (condition de concurrence) dans le noyau Windows permet à un attaquant autorisé d'élever ses privilèges localement ", indique Microsoft.
Le noyau Windows plusieurs fois touché en 2025
La société de cybersécurité Tenable souligne que réussir une condition de compétition constitue souvent un frein en tant que prérequis.
" Le fait qu'il s'agisse d'une faille d'élévation de privilèges suggère qu'elle a probablement été utilisée dans le cadre d'une activité post-exploitation par un attaquant, après que celui-ci a déjà réussi à accéder au système ciblé, par exemple via de l'ingénierie sociale, du phishing ou l'exploitation d'une autre vulnérabilité. "
Pour cette année 2025, la vulnérabilité CVE-2025-62215 est l'une des 11 vulnérabilités d'élévation de privilèges corrigées dans le noyau Windows.
Plusieurs vulnérabilités critiques
Hormis la vulnérabilité zero-day, Microsoft corrige également les vulnérabilités critiques CVE-2025-60716, CVE-2025-60724, CVE-2025-62199, CVE-2025-62214 et CVE-2025-30398. Elles affectent respectivement Windows DirectX, Windows Graphics Device Interface (GDI), Microsoft Office, Visual Studio et Nuance PowerScribe 360.
Les failles CVE-2025-60724, CVE-2025-62199 et CVE-2025-62214 sont de type exécution de code à distance. Le score CVSSv3 de 9.8 est attribué à la vulnérabilité CVE-2025-60724, même si l'exploitation est jugée moins probable.
Une faille affectant l'IA agentique
Sans être critique, une vulnérabilité qui retient l'attention est CVE-2025-62222. Elle touche l'extension Microsoft Visual Studio Code CoPilot Chat et découle d'une faille d'injection de commandes permettant à un attaquant d'obtenir des privilèges d'exécution de code.
" Même si elle est classée comme peu susceptible d'être exploitée, elle illustre l'intérêt croissant pour la recherche de failles dans l'IA générative ou l'IA agentique, qui inclut les grands modèles de langage, qu'il s'agisse de modèles propriétaires ou open source, ainsi que les outils d'édition de code assistés par l'IA ", analyse Tenable.
