Microsoft corrige une pelletée de vulnérabilités

Publié le 09 juillet 2025 à 09:55 par Jérôme G.

Lire sur mobile

Un gros Patch Tueday de Microsoft pour débuter la saison estivale. Pas d'exploit dans la nature, mais une divulgation publique et une faille particulièrement critique.

Le Patch Tueday de ce mois de juillet est copieux pour Microsoft. C'est presque une tradition pour chaque début d'été. Cette fois-ci, le groupe de Redmond corrige quelque 130 vulnérabilités de sécurité affectant Windows et d'autres de ses logiciels.

Par ailleurs, à noter la republication d'une dizaine d'avis de sécurité non-Microsoft, dont deux critiques pour des failles d'attaque par canal auxiliaire touchant certains modèles de processeurs AMD. Cela signifie des correctifs émanant d'un tiers qui sont désormais inclus dans les publications de Microsoft.

Une vulnérabilité 0-day pour Microsoft

En tout, une douzaine de vulnérabilités de sécurité sont jugées critiques. S'il n'y a pas de signalement d'une exploitation active dans des attaques, Microsoft indique toutefois qu'une vulnérabilité CVE-2025-49719 a fait l'objet d'une divulgation publique.

Selon la définition retenue par Microsoft, la vulnérabilité CVE-2025-49719 est ainsi 0-day en raison de la disponibilité d'une preuve de concept. De type divulgation d'informations, elle affecte Microsoft SQL Server. La correction concerne toutes les versions jusqu'à SQL Server 2016.

La faille CVE-2025-49719 n'est pas considérée critique, mais sa divulgation publique en fait une priorité pour les entreprises.

Une vulnérabilité critique pré-authentification pour Windows

Pour ce mois de juillet, la vulnérabilité de sécurité la plus critique est la faille d'exécution de code à distance CVE-2025-47981. Elle a un score CVSS de 9.8, sachant que le maximum est à 10.

La vulnérabilité touche la manière dont les serveurs et les clients Windows négocient pour découvrir les mécanismes d'authentification qu'ils partagent.

La société de cybersécurité Tenable détaille une faille d'exécution de code à distance dans SPNEGO Extended Negotiation (NEGOEX), une extension du mécanisme SPNEGO utilisé pour négocier le mécanisme de sécurité avant authentification.

« Ce problème met en évidence l'importance de vérifier les politiques et configurations par défaut, qui peuvent exposer inutilement l’entreprise à des risques. »