Microsoft publie des mises à jour pour résoudre 66 CVE, dont 9 sont classées Critique. En outre, il existe une divulgation publique et une exploitation Zero Day. Les mises à jour du mois concernent Windows, Office, Sharepoint, Visual Studio et .Net. La Zero Day et la divulgation publique sont toutes deux résolues par la mise à jour de l’OS Windows du mois.
Les mises à jour tierces de Mozilla, Google (y compris pour les deux récentes exploitations Zero Day) et Adobe qui ont précédé le Patch Tuesday s’ajoutent à cette charge de traitement. Si votre entreprise met à jour des applications comme les navigateurs chaque semaine pour tenir le rythme des mises à jour continues de ces applications souvent utilisées pour cibler les utilisateurs finaux, vous devriez être à jour, sauf pour Adobe. Sinon, veillez à bien les inclure dans votre maintenance des correctifs.

Vulnérabilités Microsoft exploitées
Microsoft résout une vulnérabilité d’exécution de code à distance (RCE) dans WEBDAV (Web Distributed Authoring and Versioning) (CVE-2025-33053), dont Microsoft a confirmé l’exploitation sur le terrain. Microsoft classe cette CVE au niveau Important et son score CVSS v3.1 est de 8,8. Pour la priorisation basée sur les risques, cette vulnérabilité est de niveau Critique.

Vulnérabilités Microsoft divulguées publiquement
Microsoft résout une vulnérabilité EP (Élévation de privilèges) dans le client SMB Windows (CVE-2025–33073). Microsoft a confirmé sa divulgation publique. Microsoft classe cette CVE au niveau Important et son score CVSS v3.1 est de 8,8. Le niveau de maturité de son code est Proof-of-Concept (Validation de principe) et cette vulnérabilité peut être exploitée à distance, ce qui en fait une cible de choix pour les pirates. La méthodologie de priorisation basée sur les risques réclame de traiter cette vulnérabilité comme étant de niveau Critique.

Vulnérabilités tierces
Google Chrome continue à publier des mises à jour de sécurité toutes les semaines. Attendez-vous encore à une mise à jour Chrome cette semaine, qui s’ajoutera aux 4 mises à jour (14 CVE résolues) publiées depuis le Patch Tuesday de mai. Cela inclut deux exploitations Zero Day résolues ces dernières semaines (CVE-2025–5419 et CVE-2025–4664).
Mozilla a publié plusieurs mises à jour de sécurité depuis l’événement Pwn2Own Berlin. Ces deux CVE exploitées lors de l’événement ont été résolues par la mise à jour du 17 mai (Firefox 138.0.4). Depuis, Mozilla a publié Firefox 139 et 139.0.4, ainsi que des mises à jour pour Firefox ESR et Thunderbird. Veillez à bien effectuer les dernières mises à jour Mozilla pour ce Patch Tuesday.
Adobe publie des mises à jour pour Acrobat Reader et six autres produits, qui résolvent 259 CVE. 225 d’entre elles figuraient dans la mise à jour Experience Manager, avec d’importantes contributions de la part d’une poignée de chercheurs en sécurité diligents.
Priorités de mise à jour pour juin
• Ce mois-ci, la principale priorité est l’OS Windows, avec une exploitation Zero Day (CVE-2025–33053) et une divulgation publique (CVE-2025–33073)
• Google Chrome doit également être une priorité si vous n’avez pas déployé les mises à jour du 2 juin et les précédentes. En effet, il s’agit de résoudre deux exploitations Zero Day (CVE-2025–5419 et CVE-2025–4664).
• En général, il faut mettre à jour les navigateurs chaque semaine pour tenir le risque du cycle de publication en continu. Edge, Chrome et Firefox ont reçu plusieurs mises à jour depuis le Patch Tuesday de mai, dont plusieurs divulgations très médiatisées et des exploitations Zero Day.