Patch Tuesday – Décembre 2025 : Microsoft a corrigé 57 vulnérabilités dont 3 zero-day Windows
Microsoft a publié son Patch Tuesday de décembre 2025, soit le dernier de l'année 2025 ! Au total, 57 failles de sécurité ont été corrigées dans les produits et services Microsoft, dont 3 failles zero-day. Voici un récapitulatif.
Ce Patch Tuesday contient beaucoup de vulnérabilités importantes, dont 19 vulnérabilités permettant une exécution de code à distance, mais seulement 4 sont considérées comme critiques :
- Microsoft Office : CVE-2025-62554, CVE-2025-62557
- Microsoft Outlook : CVE-2025-62562
- Windows - GDI+ : CVE-2025-60724
Au-delà d'installer les mises à jour Windows, vous devez penser à mettre à jour Windows Subsystem for Linux (WSL) si vous l'utilisez. Il est affecté par une vulnérabilité importante permettant une exécution de code à distance (dans la GUI) : CVE-2025-62220. Pour cela, exécutez la commande : wsl --update.
Parmi les autres composants importants affectés directement par ce Patch Tuesday : SQL Server (CVE-2025-59499), l'authentification par Smart Card sur Windows (CVE-2025-59505), le Bureau à distance Windows (CVE-2025-60703), Kerberos dans Windows (CVE-2025-60704), l'hyperviseur Hyper-V (CVE-2025-60706), ou encore les services RRAS (CVE-2025-62452).
Le total de 57 vulnérabilités ne tient pas compte des failles de sécurité corrigées dans Microsoft Edge.
Sommaire
3 failles zero-day pour décembre 2025
Dans la suite de cet article, nous allons nous intéresser aux 3 vulnérabilités zero-day patchées par Microsoft. Il est à noter que la faille première évoquée ci-dessous est déjà exploitée, tandis que les 2 autres sont seulement divulguées publiquement.
CVE-2025-62221 - Windows - Pilote Cloud Files Mini Filter
Le pilote Cloud Files Mini Filter de Windows est affecté par une faille de sécurité importante permettant à un attaquant local d'élever ses privilèges sur Windows.
"Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait obtenir des privilèges SYSTÈME.", précise Microsoft. Il s'agit d'une faiblesse de type use after free.
Microsoft indique que cette vulnérabilité est déjà exploitée par les cybercriminels.
Versions affectées : Windows 10, Windows 11, Windows Server 2022, Windows Server 2025.
CVE-2025-64671 - GitHub Copilot for Jetbrains
La seconde faille de sécurité zero-day patchée dans Microsoft se situe dans GitHub Copilot. Mais, attention, on parle uniquement de l'extension GitHub Copilot pour l'IDE JetBrains.
En exploitant cette vulnérabilité, un attaquant pouvait exécuter des commandes sur la machine locale. "Une neutralisation incorrecte des éléments spéciaux utilisés dans une commande (« injection de commande ») dans Copilot permet à un attaquant non autorisé d'exécuter du code localement.", précise Microsoft.
La firme de Redmond indique que cette faille peut être exploitée via une injection de requêtes croisées dans des fichiers untrusted ou des serveurs MCP.
CVE-2025-54100 - PowerShell
La troisième faille de sécurité zero-day affecte PowerShell sur Windows et Windows Server. Elle permet une exécution de code à distance et se situe au niveau du cmdlet Invoke-WebRequest.
Microsoft explique que si vous récupérez le contenu d'une page Web avec Invoke-WebRequest, et que cette page Web embarque elle-même un script PowerShell, celui-ci sera exécuté sur Windows. Le code potentiellement malveillant est alors exécuté sur la machine locale.
Pour empêcher l'exécution de code malveillant, Microsoft a ajouté un nouveau paramètre : -UseBasicParsing. Lorsque ce paramètre est ajouté, il évite l'exécution du code embarqué dans une page web. De plus, Microsoft évoque l'ajout d'un nouvel avertissement de sécurité :
Security Warning: Script Execution Risk
Invoke-WebRequest parses the content of the web page. Script code in the web page might be run when the page is parsed.
RECOMMENDED ACTION:
Use the -UseBasicParsing switch to avoid script code execution.
Do you want to continue?Les mises à jour Windows de décembre 2025
Découvrez les mises à jour Windows 10 et Windows 11 :
