Microsoft publie son Patch Tuesday d'octobre 2025. Il est d'ampleur conséquente avec plus de 170 vulnérabilités de sécurité à corriger et la présence de six failles zero-day. En outre, il s'agit de l'ultime Patch Tuesday pour Windows 10 dont le support s'achève, même s'il existe un délai de grâce à saisir par le biais du programme ESU.

Des vulnérabilités zero-day activement exploitées

Pour une vulnérabilité zero-day, la définition retenue par Microsoft est celle d'une vulnérabilité divulguée publiquement ou activement exploitée, alors qu'aucun correctif officiel n'était disponible. À ce titre, deux failles zero-day retiennent en particulier l'attention ce mois-ci parce qu'elles étaient déjà exploitées dans la nature.

La première, identifiée comme CVE-2025-24990, est une surprise. Elle concerne un pilote de modem tiers, Agere Modem, intégré nativement à Windows depuis des années. Face à son exploitation active pour une élévation des privilèges, Microsoft a pris une décision radicale. Le retrait pur et simple du pilote vulnérable (ltmdm64.sys).

La seconde faille exploitée, CVE-2025-59230, affecte le gestionnaire de connexion d'accès à distance de Windows (RasMan). Elle est également de type élévation de privilèges. " Bien que RasMan ait déjà fait l'objet de correctifs plus de vingt fois depuis janvier 2022, c'est la première fois qu'il est visé par une exploitation active zero-day ", souligne la société de cybersécurité Tenable.

cybersecurite

Des menaces critiques au-delà des zero-day

Le danger ne s'arrête pas aux failles déjà exploitées. Une vulnérabilité critique, CVE-2025-59287, a été découverte dans le service Windows Server Update Service (WSUS), l'outil même qui déploie les mises à jour de sécurité. Avec un score de gravité de 9,8 sur 10, elle permet une exécution de code à distance.

D'autres failles critiques (CVE-2025-59227 et CVE-2025-59234) touchent Microsoft Office. Leur particularité réside dans le fait que le volet de visualisation est un vecteur d'attaque, ce qui signifie qu'une exploitation peut survenir sans même que l'utilisateur n'ouvre le fichier malveillant.

Une fin " officieuse " pour la sécurité des utilisateurs de Windows 10

À partir de maintenant, les utilisateurs de Windows 10 qui ne peuvent pas ou ne veulent pas migrer vers Windows 11 devront trouver des alternatives pour rester protégés.

En restant dans l'univers Windows, l'option principale proposée par Microsoft est le programme ESU (Extended Security Updates). Un tel programme est pour la première fois ouvert aux particuliers avec une seule année supplémentaire de mises à jour de sécurité. 

microsoft-fin-support-windows-10

Payant pour les entreprises (jusqu'à trois années en plus), il l'est aussi pour les particuliers, avec néanmoins diverses possibilités de gratuité. En Europe, la gratuité avec un compte Microsoft est encore plus simple et l'inscription se fait directement via les paramètres de l'ordinateur.