Récapitulatif du Patch Tuesday de décembre
Nous voici au dernier Patch Tuesday de 2025. Microsoft a corrigé 56 CVE (dont deux critiques et 54 importantes). Cette publication inclut une vulnérabilité exploitée activement (CVE-2025-62221) et deux CVE divulguées publiquement (CVE-2025-54100 et CVE-2025-64671). La mise à jour du système d'exploitation de ce mois-ci résout l'exploit (CVE-2025-62221) et l'une des vulnérabilités divulguées publiquement (CVE-2025-54100), ce qui fait du système d'exploitation Windows la priorité absolue ce mois-ci. L'autre vulnérabilité publique concerne GitHub Copilot for Jetbrains (CVE-2025-64671), nécessitant que les développeurs téléchargent et mettent à jour le plugin GitHub Copilot.
Les mises à jour tierces de ce Patch Tuesday incluent plusieurs publications de Mozilla pour Firefox 146 et Firefox ESR 115.31 et 140.6. Adobe a publié cinq mises à jour visant à résoudre 142 CVE, dont une mise à jour pour Adobe Acrobat et Reader. Quatre de ces cinq mises à jour sont classées priorité trois, mais la mise à jour Adobe ColdFusion est classée priorité un. Aucun exploit connu n'est signalé, mais la mise à jour ColdFusion corrige la majorité des CVE traitées par Adobe ce mois-ci.
Vulnérabilité exploitée chez Microsoft
Microsoft a corrigé une vulnérabilité d'élévation de privilèges dans Cloud Files Mini Filter Driver (CVE-2025-62221). Cette vulnérabilité est classée « Important » par Microsoft et a un score CVSS v3.1 de 7.8, mais elle est confirmée comme exploitée dans la nature. Un attaquant qui exploiterait ce CVE pourrait obtenir des privilèges SYSTEM. Le CVE affecte Windows 10 et les versions ultérieures. Une approche de priorisation basée sur le risque classerait cette faille comme critique.
Vulnérabilités divulguées publiquement chez Microsoft
Microsoft a corrigé une vulnérabilité d'exécution de code à distance dans PowerShell (CVE-2025-54100). Cette vulnérabilité est classée « Important » par Microsoft et a un score CVSS v3.1 de 7.8. Elle a été divulguée publiquement. Le correctif fournit un avertissement et des recommandations pour éviter l'exécution potentielle de code à distance, mais la nature de la faille rend sa correction totale peu probable. La commande Invoke-WebRequest peut analyser le contenu d'une page web et exécuter potentiellement du code script lors de l'analyse. Un message recommande d'utiliser le paramètre -UseBasicParsing pour éviter l'exécution de scripts. Ce CVE affecte Server 2008 et les versions ultérieures de Windows.
Microsoft a corrigé une vulnérabilité d'exécution de code à distance dans GitHub Copilot for Jetbrains (CVE-2025-64671). Cette vulnérabilité est classée « Important » par Microsoft et a un score CVSS v3.1 de 8.4. Elle a été divulguée publiquement. Un attaquant pourrait exploiter un code malveillant via une attaque « Cross Prompt Inject » dans des fichiers non fiables ou sur des serveurs MCP, permettant l'exécution de commandes supplémentaires en les ajoutant aux commandes autorisées par l'option d'approbation automatique du terminal utilisateur.
Vulnérabilités tierces
Mozilla a publié des mises à jour pour Firefox et Firefox ESR, corrigeant un total de 27 CVE. Les trois mises à jour ont un impact élevé.
Adobe a publié cinq mises à jour ce mois-ci concernant ColdFusion, Experience Manager, DNG SDK, Acrobat et Reader, et Creative Cloud Desktop. ColdFusion est classé priorité un et corrige la grande majorité des 142 CVE. Les quatre autres mises à jour sont classées priorité trois.
Priorités des mises à jour de décembre
La mise à jour du système d'exploitation Windows est la priorité ce mois-ci pour corriger la faille CVE-2025-62221.
Toutes les autres mises à jour peuvent être traitées selon les priorités SLA normales.
