La dernière version du Patch Tuesday de Microsoft contenant des correctifs pour 130 les vulnérabilités n'incluaient aucune mise à jour pour zero-day failles actuellement exploitées. Encore, la société a reconnu que l'un des problèmes corrigés avait déjà été rendu public avant la publication de la mise à jour.
Un large balayage: 130 Vulnérabilités résolues dans la mise à jour de juillet
de Microsoft Mise à jour de juillet adresses 130 vulnérabilités dans son écosystème, en plus de 10 problèmes signalés en externe affectant des logiciels comme Visual Studio, Composants AMD, et le navigateur Edge basé sur Chromium. Dix de ces problèmes sont classés comme critiques, le reste étant considéré comme important en termes de gravité.
Selon Satnam Narang de Tenable, ce mois-ci rompt avec une tendance qui dure depuis près d'un an, où chaque mise à jour mensuelle incluait au moins un correctif pour une vulnérabilité activement exploités dans la nature.
L'escalade des privilèges et les attaques à distance dominent
Les vulnérabilités corrigées dans ce cycle incluent une variété de types de menaces. Le nombre le plus élevé concerne les failles d'élévation de privilèges, soit un total de 53. Il est suivi par 42 cas de exécution de code distant, 17 vulnérabilités qui divulguent des informations, et 8 qui permettent de contourner les fonctionnalités de sécurité. Microsoft a également publié des correctifs supplémentaires pour deux vulnérabilités dans Edge depuis la sortie du mois dernier..
Une vulnérabilité révélée dans SQL Server attire l'attention
Une préoccupation notable est CVE-2025-49719, un problème de fuite d'informations affectant Microsoft SQL Server avec un indice de gravité de 7.5 à l'échelle CVSS. Cette faille connue du public peut permettre aux attaquants d'accéder à des fragments de mémoire qui n'ont pas été correctement effacés..
Les experts de Rapid7 ont exprimé des inquiétudes quant à ce type de vulnérabilité, bien que cela semble avoir un faible impact, peut parfois exposer des données critiques comme des clés de chiffrement. Mike Walters d'Action1 a suggéré que la racine du problème réside dans la mauvaise gestion de la validation des entrées de mémoire par SQL Server, ce qui pourrait entraîner l'exposition d'informations sensibles à des acteurs non autorisés, en particulier lorsque des pilotes OLE DB sont impliqués.
La faille SPNEGO apparaît comme la plus dangereuse
En tête de liste des menaces ce mois-ci se trouve CVE-2025-47981, rated 9.8 de 10. Cette faille critique existe dans la négociation étendue du SPNEGO (NEGOEX) protocole et permet l'exécution de code à distance sans nécessiter d'authentification. Un attaquant pourrait exploiter le problème en envoyant un message spécialement conçu sur le réseau..
La vulnérabilité a été découverte par un contributeur anonyme et chercheur en sécurité, Yuki Chen.. Cela impacte Windows 10 (version 1607 et ensuite) systèmes où un paramètre de stratégie de groupe particulier, destiné à activer l'authentification PKU2U, est activé par défaut.
Benjamin Harris de watchTowr a signalé que la vulnérabilité avait le potentiel d'être “vermifuge,” ce qui signifie qu'il pourrait se propager à travers les systèmes sans interaction de l'utilisateur, similaire aux événements de malwares passés comme WannaCry.
Autres bugs de haute gravité à surveiller
La version de juillet a également abordé un certain nombre d’autres problèmes graves:
- CVE-2025-49735 – Une faille d'exécution de code à distance dans le service proxy Windows KDC (CVSS 8.1)
- CVE-2025-48822 – Une vulnérabilité RCE affectant Hyper-V (CVSS 8.6)
- CVE-2025-49695, CVE-2025-49696, CVE-2025-49697 – Un trio de failles RCE dans Microsoft Office (CVSS 8.4 chaque)
Ben McCarthy d'Immersive a souligné l'importance de CVE-2025-49735 en raison de son potentiel à permettre l'accès à distance sans nécessiter de privilèges utilisateur ou d'interaction.. Il a noté que même si la vulnérabilité repose actuellement sur un problème de timing, rendant l'exploitation difficile, les attaquants avancés pourraient affiner leurs méthodes au fil du temps pour contourner cette limitation..
Les vulnérabilités de BitLocker exposent les appareils à des attaques physiques
Cinq défauts distincts ont également été corrigés dans BitLocker, Outil de cryptage intégré de Microsoft. ces vulnérabilités –CVE-2025-48001, 48003, 48800, 48804, et 48818—chacun a marqué 6.8 à l'échelle CVSS et pourrait permettre à une personne disposant d'un accès physique d'extraire des informations cryptées.
Une méthode d’attaque possible consiste à charger un fichier d’environnement de récupération personnalisé (`WinRE.wim`) lorsque le volume du système d'exploitation est déverrouillé. Microsoft a attribué la découverte de ces failles à son équipe de recherche interne, MORSE (Recherche offensive et ingénierie de sécurité de Microsoft).
L'ingénieur en cybersécurité Jacob Ashdown a averti que ces types de vulnérabilités sont particulièrement dangereux dans les environnements où les ordinateurs portables ou les appareils mobiles peuvent être perdus ou volés.. Dans de tels cas,, les attaquants pourraient être en mesure de contourner les mesures de sécurité de chiffrement et d'extraire des données précieuses directement de l'appareil.
Rideau final pour SQL Server 2012
Juillet 8, 2025 marque également la fin du support étendu de SQL Server 2012. Avec la conclusion des mises à jour de sécurité étendues (AM) programme, les organisations qui utilisent encore cette version ne recevront plus de correctifs de sécurité officiels, les laissant vulnérables à moins qu'ils ne migrent vers une version plus récente, version prise en charge.