Patch Tuesday – Juillet 2025 : Microsoft corrige 137 vulnérabilités, dont 1 faille zero-day dans SQL Server

Le Patch Tuesday de juillet 2025 publié par Microsoft permet de corriger un ensemble de 137 failles de sécurité, dont une faille de sécurité zero-day dans SQL Server. Voici l'essentiel à retenir !

Ce mardi 8 juillet 2025, Microsoft a dévoilé son nouveau Patch Tuesday et ce dernier est plutôt chargé puisqu'il est question de 137 vulnérabilités, dont un total de 14 failles de sécurité critiques. Commençons d'ailleurs par nous intéresser à celles-ci :

• AMD L1 Data Queue : CVE-2025-36357
• AMD Store Queue : CVE-2025-36350
• Microsoft Office : CVE-2025-49697, CVE-2025-49695, CVE-2025-49696, CVE-2025-49702
• Microsoft Word : CVE-2025-49703, CVE-2025-49698
• Microsoft SharePoint : CVE-2025-49704
• Hyper-V : CVE-2025-48822
• SQL Server : CVE-2025-49717
• Windows - Imaging Component : CVE-2025-47980
• Windows - KDC Proxy Service (KPSSVC) : CVE-2025-49735
• Windows - SPNEGO Extended Negotiation : CVE-2025-47981

Vous l'aurez compris, la suite Microsoft Office est particulièrement concernée par ces nouveaux correctifs, avec plusieurs failles de sécurité critiques. Même si, d'après Microsoft, ces vulnérabilités ne sont pas exploitées à ce jour, il faudra suivre l'évolution de la situation.

Si nous prenons l'exemple de la CVE-2025-49695, elle permet une exécution de code à distance sans interaction de l'utilisateur. "Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait exécuter du code à distance sans interaction avec l'utilisateur.", précise Microsoft. Il est également important de préciser que le volet de prévisualisation est un vecteur d'attaque. Ceci est aussi vrai pour d'autres vulnérabilités patchées par ces nouvelles mises à jour.

Par ailleurs, l'entreprise américaine a corrigé des failles de sécurité dans d'autres produits et composants, parmi lesquels : Visual Studio, le format de disque VHDX, BitLocker, le noyau Windows ou encore le service Windows Update. Sans oublier, que Microsoft a également corrigé 16 vulnérabilités importantes dans les services de routage et d'accès distant de Windows Server (RRAS).

CVE-2025-49719 - Microsoft SQL Server

Ce Patch Tuesday fait aussi référence à une faille de sécurité zero-day dans Microsoft SQL Server. Cette vulnérabilité, déjà divulguée publiquement avant la sortie de ce correctif, n'est pas exploitée d'après Microsoft.

Cette faiblesse dans SQL Server peut mener à la divulgation d'informations : "Une mauvaise validation des entrées dans SQL Server permet à un attaquant non autorisé de divulguer des informations sur un réseau.", précise Microsoft.

Des correctifs sont disponibles pour plusieurs versions de SQL Server, notamment SQL Server 2016, 2017, 2019 et 2022. Je vous recommande de consulter le site de Microsoft pour prendre connaissance des informations en fonction de la version que vous utilisez.

Les mises à jour de juillet 2025 pour Windows 10 et Windows 11

Retrouvez nos articles dédiés aux mises à jour de juillet 2025 pour Windows :

• Windows 10 - KB5062554
• Windows 11 - KB5062553

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Voir la bio complète