Récapitulatif du Patch Tuesday de février

février 2025 par Ivanti

Le Patch Tuesday de février s’intensifie, avec des publications d’Adobe, Microsoft et la publication Google prévue. Adobe résout 45 CVE avec 7 mises à jour. La plus importante et la plus prioritaire concerne Adobe Commerce ; elle résout 30 CVE. Après son énorme mise à jour de janvier, Microsoft ralentit et résout seulement 56 nouvelles CVE en ce mois de février. On compte parmi elles deux nouvelles exploitations Zero Day et la révision d’une Zero Day Secure Boot, ce qui fait de l’OS Windows la priorité numéro 1 du mois.

Vulnérabilités Microsoft exploitées

Microsoft résout une vulnérabilité d’élévation de privilèges (EP) dans le pilote de fonction auxiliaire (AFD) Windows pour WinSock (CVE-2025-21418). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 7,8. Elle concerne toutes les éditions de Windows, de Windows 10 à 11 et de Server 2008 à Server 2025. Microsoft a confirmé que cette CVE avait été exploitée sur le terrain. En exploitant cette vulnérabilité, un pirate pourrait obtenir des privilèges SYSTEM. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau Critique.

Microsoft résout une vulnérabilité d’élévation de privilèges (EP) dans le stockage Windows (CVE-2025-21391). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 7,1. Elle concerne Windows 10 à 11 et Server 2008 à Server 2025. Microsoft a confirmé que cette CVE avait été exploitée sur le terrain. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau Critique.

Microsoft a révisé le correctif déjà publié pour résoudre le problème de contournement des fonctions de sécurité (SFB) dans Secure Boot (CVE-2023-24932). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 6,7. La vulnérabilité a été mise à jour pour inclure Windows 11 24H2 et Server 2025, car ils sont également concernés par cette vulnérabilité, dont on sait qu’elle a été exploitée et publiquement divulguée. De plus, Microsoft publie une mise à jour plus complète de toutes les versions concernées, afin d’assurer une protection complète contre cette vulnérabilité. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau Critique.

Vulnérabilités Microsoft divulguées publiquement

Microsoft résout une vulnérabilité d’usurpation d’identité (Spoofing) dans la divulgation de hachage NTLM Hash Disclosure (CVE-2025-21377). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 6,5. Elle concerne toutes les éditions de Windows, de Windows 10 à 11 et de Server 2008 à Server 2025. Microsoft a confirmé que cette CVE avait été divulguée publiquement. Les mesures temporelles indiquent que le niveau de maturité du code d’exploitation (ECM) est Fonctionnel, ce qui augmente encore le risque d’exploitation. La priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau Critique.

Microsoft résout une vulnérabilité de contournement des fonctions de sécurité dans Microsoft Surface (CVE-2025-21194). Cette vulnérabilité est classée Important et son score CVSS v3.1 est de 7,1. Elle concerne Microsoft Surface et les systèmes de kit de développement Surface. Microsoft a confirmé que cette vulnérabilité avait été divulguée publiquement, mais la maturité du code n’est pas prouvée.

Vulnérabilités tierces

Adobe publie des mises à jour pour InDesign, Commerce, Substance 3D Stager, InCopy, Illustrator, Substance 3D Designer et Photoshop Elements, qui résolvent un total de 45 CVE. Six des mises à jour sont marquées Priorité 3. Adobe Commerce est marqué Priorité 1. La mise à jour Commerce résout 30 CVE sur le total de 45 CVE résolues par Adobe ce mois-ci, et exige une attention plus immédiate.

La mise à jour Google Chrome devrait être publiée plus tard dans la journée, ce qui va déclencher des mises à jour pour les navigateurs basés sur Chromium, y compris Microsoft Edge. Alors, soyez à l’affût des mises à jour Chrome et Edge tout au long de la semaine.

Priorités de mise à jour pour février :

• Microsoft Windows est la priorité numéro 1 ce mois-ci, en raison des 3 CVE dont l’exploitation est connue, des 2 vulnérabilités divulguées publiquement et des 2 CVE classées Critique.

• Les navigateurs constituent une cible de choix pour les pirates qui veulent atteindre les utilisateurs. Même s’il est recommandé d’inclure les navigateurs dans votre processus de mise à jour mensuel, de nombreuses CVE restent exposées entre deux cycles. Nous vous conseillons de changer de rythme pour faire des mises à jour des navigateurs une priorité hebdomadaire. Les publications Mozilla Firefox ont lieu 2-3 fois par mois. Les mises à jour de sécurité Google Chrome sont publiées toutes les semaines depuis août 2023. La mise à jour de Microsoft Edge basé sur Chromium est également publiée chaque semaine. Il est donc recommandé de mettre à jour tous les navigateurs chaque semaine, afin de tenir le rythme de ce flux régulier de mises à jour de sécurité.