Le premier Patch Tuesday de l’année 2025 est copieux pour Microsoft. Un peu moins de 160 vulnérabilités de sécurité à corriger, alors que la moyenne en janvier se situe habituellement autour d’une soixantaine de vulnérabilités.
Dans le cadre de n’importe quelle publication de Patch Tuesday depuis 2017, Tenable souligne un record en la matière et pas uniquement pour un mois de janvier. Le précédent record était pour le mois d’avril 2024 avec 147 failles. Il est donc désormais de 159 vulnérabilités.
Une dizaine de vulnérabilités sont critiques. L’indice de gravité est notamment élevé pour les vulnérabilités CVE-2025-21311 et CVE-2025-21298. La première affecte l’ancien protocole d’authentification Windows NTLMv1 et la deuxième permet à un attaquant d’exécuter du code arbitraire via l’ouverture d’un fichier RTF malveillant.
Des exploitations dans des attaques en cours
Sans être critiques, plusieurs vulnérabilités zero-day sont de la partie. Trois d’entre elles font l’objet d’une exploitation active dans des attaques (CVE-2025-21333, CVE-2025-21334 et CVE-2025-21335).
Il est aussi à noter des divulgations publiques pour cinq autres vulnérabilités : CVE-2025-21186, CVE-2025-21366, CVE-2025-21395, CVE-2025-21275 et CVE-2025-21308.
CVE-2025-21333, CVE-2025-21334 et CVE-2025-21335 sont des vulnérabilités de type élévation de privilèges. Elles résident toutes dans Windows Hyper-V. Tenable détaille un composant du noyau NT de Windows Hyper-V pour la gestion de la communication entre les machines virtuelles et le système d’exploitation hôte.
Des bugs de sécurité signalés par l’IA
Pour les vulnérabilités CVE-2025-21186, CVE-2025-21366 et CVE-2025-21395 affectant Microsoft Access, Tenable attire l’attention sur un signalement à Microsoft par la plateforme Unpatched.ai et ainsi la contribution de l’IA.