Suite au Patch Tuesday d'août 2025, un problème touchant Windows avait pour origine le comblement d'une vulnérabilité de sécurité CVE-2025-50173 dans le Windows Installer (MSI). Une faille permettant à un attaquant d'obtenir des privilèges administrateur et pour laquelle Microsoft avait renforcé les contrôles.
La panade pour les non-administrateurs
La conséquence malencontreuse est que des utilisateurs sans droits d'administrateur étaient susceptibles de se retrouver face à un mur de fenêtres UAC (Contrôle de compte utilisateur) leur demandant un mot de passe qu'ils n'avaient pas.
Hormis l'installation d'applications qui se configurent par utilisateur, Microsoft avait cité d'autres exemples de déclenchement du bug, dont le lancement de certains logiciels, notamment des applications Autodesk comme AutoCAD, Civil 3D et Inventor CAM, ainsi que l'exécution de commandes de réparation MSI.
Si une application tentait une réparation en arrière-plan sans interface graphique, elle échouait et en affichant parfois une erreur au numéro 1730 lors de la configuration.
KB5065426 (et autres) à la rescousse
En guise de solution temporaire de contournement, Microsoft avait préconisé si nécessaire une solution simple consistant à lancer l'application en tant qu'administrateur via un clic droit sur son icône. Désormais, le patch du patch est disponible dans le cadre du Patch Tuesday de septembre 2025.
« La mise à jour de sécurité Windows de septembre 2025 (et les mises à jour ultérieures) réduit la portée de l'exigence d'invites UAC pour les réparations MSI et permet aux administrateurs de désactiver les invites UAC pour des applications spécifiques en les ajoutant à une liste d'autorisation », écrit Microsoft.
Il est ajouté que les invites UAC ne seront requises pendant les opérations de réparation MSI que si le fichier MSI cible contient une action personnalisée avec élévation de privilèges. Les administrateurs ont la main pour la désactivation des invites via la liste blanche.
