Microsoft colmate une faille zero day dans Windows. L’éditeur a en effet découvert et corrigé une brèche dans son logiciel de base de données SQL Server. Elle permet d’exfiltrer des données sensibles sans devoir s’authentifier.
Microsoft vient de publier son Patch Tuesday pour le mois de juillet 2025. La mise à jour comprend des correctifs pour un total de 137 vulnérabilités, dont quatorze failles considérées comme critiques. Dans la plupart des cas, il s’agit de failles permettant à un attaquant d’exécuter du code à distance sur votre ordinateur. Pour exploiter certaines défaillances, il suffit que la victime ouvre un document piégé sur Microsoft Office.
Comme l’a remarqué Tenable, dans une réaction adressée à 01net, c’est déjà la troisième année de suite que Microsoft corrige plus de 125 failles en juillet. C’est supérieur à la moyenne de 100 failles observée depuis juillet 2017.
La mise à jour colmate aussi et surtout une vulnérabilité de type zero day. Pour rappel, Microsoft définit une faille zero day comme une faille qui est soit rendue publique, soit déjà exploitée par des pirates, avant qu’un correctif officiel ne soit disponible sur Windows.
À lire aussi : Cyberespionnage en cours sur Windows – Microsoft corrige une faille exploitée par des pirates émiratis
Une faille dans Microsoft SQL Server
La vulnérabilité concerne Microsoft SQL Server, un logiciel professionnel qui permet de créer et de gérer des bases de données sur le système d’exploitation. Elle survient à la suite d’une erreur dans la vérification des données reçues par le serveur. En exploitant la défaillance, un attaquant peut obtenir des données sensibles en envoyant une demande calibrée au serveur. Dans le cadre de l’attaque, le serveur peut répondre avec des données sensibles, sans que l’auteur de la demande ne se soit authentifié.
La vulnérabilité est particulièrement préoccupante pour cette raison. Il n’y a pas besoin de compte ni d’accès particulier pour l’exploiter et se retrouver en position d’aspirer des informations sensibles, SQL Server étant souvent utilisé pour gérer des bases de données critiques. Microsoft ne précise pas si des cybercriminels se sont effectivement servis de la brèche pour mener des cyberattaques. Il semble plus probable que Microsoft l’ait classée comme zero day, car la faille a été rendue publique avant la sortie des correctifs. L’éditeur indique d’ailleurs que le risque d’exploitation de la faille reste faible.
À lire aussi : Craignant un nouveau « Crowdstrike », Microsoft revoit la sécurité de Windows
Installez la mise à jour sans tarder
On vous recommande chaudement d’installer la mise à jour sur votre ordinateur Windows. Afin d’installer les dernières mises à jour publiées par Microsoft dans le cadre du Patch Tuesday, rendez-vous dans les Paramètres de votre PC puis sélectionnez Mise à jour et sécurité. Dans la section Windows Update, cliquez ensuite sur Rechercher des mises à jour. Si des mises à jour sont disponibles, elles seront téléchargées et installées automatiquement.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Microsoft