Microsoft et Adobe renforcent la sécurité avec des correctifs majeurs en février 2025 dont plusieurs zero day.
Le Patch Tuesday de février 2025 apporte des mises à jour importantes pour Microsoft et Adobe, avec un total de 56 CVE corrigées pour Microsoft et 45 pour Adobe. Parmi elles, plusieurs vulnérabilités critiques et des Zero Day exploitées activement. Windows reste la priorité absolue ce mois-ci.
Ce mois-ci, Microsoft ralentit son rythme après la grosse mise à jour de janvier, mais continue de résoudre des vulnérabilités majeures, y compris deux Zero Day et une révision critique de Secure Boot. Adobe, quant à lui, cible principalement Adobe Commerce, corrigeant 30 CVE sur les 45 publiées. La mise à jour de Google Chrome est attendue sous peu, ce qui renforcera la sécurité des navigateurs basés sur Chromium, dont Microsoft Edge.
Vulnérabilités Microsoft exploitées
CVE-2025-21418 – Élévation de privilèges via AFD Windows
Microsoft corrige une vulnérabilité critique dans le pilote de fonction auxiliaire (AFD) Windows pour WinSock. Cette faille, exploitée activement, permet d’obtenir des privilèges SYSTEM, ce qui en fait une priorité pour toutes les versions de Windows, de Windows 10 à Server 2025. Son score CVSS est de 7,8.
CVE-2025-21391 – Élévation de privilèges via stockage Windows
Cette vulnérabilité concerne le stockage Windows et affecte également toutes les versions de Windows 10 à Server 2025. Son exploitation permet de gagner des privilèges élevés, ce qui justifie son traitement prioritaire. Score CVSS : 7,1.
CVE-2023-24932 – Secure Boot : une mise à jour essentielle
Une révision du correctif Secure Boot a été publiée, élargissant la couverture à Windows 11 24H2 et Server 2025. Cette faille, exploitée et publiquement divulguée, nécessite une mise à jour immédiate pour garantir une protection optimale.
Vulnérabilités Microsoft divulguées publiquement
CVE-2025-21377 – Usurpation d’identité via hachage NTLM
Cette faille de type Spoofing permet l’exposition de hachages NTLM, affectant toutes les versions de Windows. Bien que classée « Important » avec un score CVSS de 6,5, elle est publiquement divulguée, augmentant le risque d’exploitation.
CVE-2025-21194 – Contournement des fonctions de sécurité sur Microsoft Surface
Cette faille affecte les systèmes Surface et leur kit de développement. Bien que sa maturité d’exploitation ne soit pas encore prouvée, elle reste une menace potentielle à surveiller. Score CVSS : 7,1.
Vulnérabilités tierces : focus sur Adobe et Google Chrome
Adobe publie des mises à jour pour plusieurs de ses produits phares, dont InDesign, Commerce, Substance 3D, InCopy et Illustrator. La mise à jour d’Adobe Commerce, classée Priorité 1, corrige 30 des 45 CVE, ce qui la rend critique pour les entreprises utilisant cette plateforme.
Google Chrome publiera sa mise à jour de sécurité d’ici peu, impactant aussi Microsoft Edge et d’autres navigateurs basés sur Chromium. Étant donné la fréquence hebdomadaire des correctifs Chrome depuis août 2023, il est vivement conseillé de mettre à jour ses navigateurs chaque semaine.
Priorités de mise à jour pour février
- Microsoft Windows : Priorité absolue avec 3 CVE exploitées activement, 2 vulnérabilités publiquement divulguées et plusieurs correctifs critiques.
- Adobe Commerce : 30 CVE corrigées, une mise à jour classée Priorité 1.
- Navigateurs web : Les mises à jour hebdomadaires de Chrome, Edge et Firefox sont essentielles pour réduire le risque d’exploitation.
