Veille automatisée du 2025-06-02 pour Microsoft-Security-Updates via Gemini gemini-2.0-flash

Catégories

🔍 Licence d'Utilisation 🔍

Sauf mention contraire, le contenu de ce blog est sous licence CC BY-NC-ND 4.0.

© 2025 à 2042 Sébastien Gioria. Tous droits réservés.

⚠️Alertes de sécurité importantes (CVSS > 7.5)⚠️

Aucune alerte de sécurité critique dans la période spécifiée.

Table des matières

📢 CVE-2025-21174 Vulnérabilité de déni de service du service de gestion du stockage basé sur les normes Windows

Dans le tableau des mises à jour de sécurité, les liens de téléchargement et d’article pour Windows Server 2012 R2 ont été corrigés.

📢 Chromium: CVE-2025-5066 Implémentation inappropriée dans les messages

Ce CVE a été attribué par Chrome. Microsoft Edge (basé sur Chromium) ingère Chromium, qui traite

📢 Chromium: CVE-2025-5067 Implémentation inappropriée dans la bande d’onglets

Ce CVE a été attribué par Chrome. Microsoft Edge (basé sur Chromium) ingère Chromium, qui traite

📢 Chromium: CVE-2025-5283 Utilisation après libération dans libvpx

Ce CVE a été attribué par Chrome. Microsoft Edge (basé sur Chromium) ingère Chromium, qui traite

📢 Chromium: CVE-2025-5281 Implémentation inappropriée dans BFCache

Ce CVE a été attribué par Chrome. Microsoft Edge (basé sur Chromium) ingère Chromium, qui traite

📢 Chromium: CVE-2025-5065 Implémentation inappropriée dans l’API FileSystemAccess

Ce CVE a été attribué par Chrome. Microsoft Edge (basé sur Chromium) ingère Chromium, qui traite

📢 Chromium: CVE-2025-5064 Implémentation inappropriée dans l’API Background Fetch

Ce CVE a été attribué par Chrome. Microsoft Edge (basé sur Chromium) ingère Chromium, qui traite

📢 Chromium: CVE-2025-5280 Écriture hors limites dans V8

Ce CVE a été attribué par Chrome. Microsoft Edge (basé sur Chromium) ingère Chromium, qui traite

📢 Chromium: CVE-2025-5063 Utilisation après libération dans Compositing

Ce CVE a été attribué par Chrome. Microsoft Edge (basé sur Chromium) ingère Chromium, qui traite

📢 CVE-2025-26646 Vulnérabilité d’usurpation d’identité .NET, Visual Studio et Build Tools pour Visual Studio

Pour traiter complètement CVE-2025-26646, Microsoft a publié des mises à jour de sécurité le 22 mai 2025 f

📢 CVE-2025-47181 Vulnérabilité d’élévation de privilèges de la mise à jour de Microsoft Edge (basé sur Chromium)

Résolution de lien incorrect avant l’accès au fichier (« suivi de lien ») dans Microsoft Edge (basé sur Chromium) al

📢 CVE-2024-21302 Vulnérabilité d’élévation de privilèges du mode noyau sécurisé de Windows

Mise à jour des numéros de build. Il s’agit uniquement d’une mise à jour informative.

📢 CVE-2025-32709 Vulnérabilité d’élévation de privilèges du pilote de fonction auxiliaire Windows pour WinSock

Dans le tableau des mises à jour de sécurité, toutes les éditions prises en charge de Windows Server 2008 et Windows Serveur ont été ajoutées

📢 CVE-2025-47161 Vulnérabilité d’élévation de privilèges de Microsoft Defender for Endpoint

Informations publiées.

📢 Chromium: CVE-2025-4609 Gestion incorrecte fournie dans des circonstances non spécifiées dans Mojo

Ce CVE a été attribué par Chrome. Microsoft Edge (basé sur Chromium) ingère Chromium, qui traite

📢 Chromium: CVE-2025-4664 Application de politique insuffisante dans Loader

Ce CVE a été attribué par Chrome. Microsoft Edge (basé sur Chromium) ingère Chromium, qui traite

📢 CVE-2025-26646 Vulnérabilité d’usurpation d’identité .NET, Visual Studio et Build Tools pour Visual Studio

Le contrôle externe du nom de fichier ou du chemin d’accès dans .NET, Visual Studio et Build Tools pour Visual Studio allo

📢 CVE-2025-26684 Vulnérabilité d’élévation de privilèges de Microsoft Defender

Le contrôle externe du nom de fichier ou du chemin d’accès dans Microsoft Defender for Endpoint permet une attaque autorisée

📢 CVE-2025-29959 Vulnérabilité de divulgation d’informations du service de routage et d’accès distant (RRAS) de Windows

L’utilisation d’une ressource non initialisée dans le service de routage et d’accès distant (RRAS) de Windows permet à un attaquant non autorisé

📢 CVE-2025-29960 Vulnérabilité de divulgation d’informations du service de routage et d’accès distant (RRAS) de Windows

La lecture hors limites dans le service de routage et d’accès distant (RRAS) de Windows permet une attaque non autorisée

📢 CVE-2025-29964 Vulnérabilité d’exécution de code à distance de Windows Media

Le dépassement de mémoire tampon basé sur le tas dans Windows Media permet à un attaquant non autorisé d’exécuter du code sur un réseau

📢 CVE-2025-29966 Vulnérabilité d’exécution de code à distance du client Bureau à distance

Le dépassement de mémoire tampon basé sur le tas dans Windows Remote Desktop permet à un attaquant non autorisé d’exécuter du code

📢 CVE-2025-29967 Vulnérabilité d’exécution de code à distance du client Bureau à distance

Le dépassement de mémoire tampon basé sur le tas dans Remote Desktop Gateway Service permet à un attaquant non autorisé d’exécuter

📢 CVE-2025-29968 Vulnérabilité de déni de service des services de certificats Active Directory (AD CS)

La validation d’entrée incorrecte dans les services de certificats Active Directory (AD CS) permet une attaque autorisée

📢 CVE-2025-29969 Vulnérabilité d’exécution de code à distance MS-EVEN RPC

La condition de concurrence time-of-check time-of-use (toctou) dans Windows Fundamentals permet une attaque autorisée

📢 CVE-2025-29970 Vulnérabilité d’élévation de privilèges du système de fichiers de courtage Microsoft

L’utilisation après libération dans Microsoft Brokering File System permet à un attaquant autorisé d’élever le privilège

📢 CVE-2025-29971 Vulnérabilité de déni de service de Web Threat Defense (WTD.sys)

La lecture hors limites dans Web Threat Defense (WTD.sys) permet à un attaquant non autorisé de refuser le service de

📢 CVE-2025-29973 Vulnérabilité d’élévation de privilèges de Microsoft Azure File Sync

Le contrôle d’accès incorrect dans Azure File Sync permet à un attaquant autorisé d’élever les privilèges locaux

📢 CVE-2025-29975 Vulnérabilité d’élévation de privilèges de Microsoft PC Manager

La résolution de lien incorrect avant l’accès au fichier (« suivi de lien ») dans Microsoft PC Manager permet un utilisateur autorisé

📢 CVE-2025-29976 Vulnérabilité d’élévation de privilèges de Microsoft SharePoint Server

La gestion de privilèges incorrecte dans Microsoft Office SharePoint permet à un attaquant autorisé d’élever

📢 CVE-2025-29977 Vulnérabilité d’exécution de code à distance de Microsoft Excel

L’utilisation après libération dans Microsoft Office Excel permet à un attaquant non autorisé d’exécuter du code localement.

📢 CVE-2025-29978 Vulnérabilité d’exécution de code à distance de Microsoft PowerPoint

L’utilisation après libération dans Microsoft Office PowerPoint permet à un attaquant non autorisé d’exécuter du code localement

📢 CVE-2025-30375 Vulnérabilité d’exécution de code à distance de Microsoft Excel

L’accès à une ressource à l’aide d’un type incompatible (« confusion de type ») dans Microsoft Office Excel permet un utilisateur non autorisé

📢 CVE-2025-30376 Vulnérabilité d’exécution de code à distance de Microsoft Excel

Le dépassement de mémoire tampon basé sur le tas dans Microsoft Office Excel permet à un attaquant non autorisé d’exécuter du code

📢 CVE-2025-30377 Vulnérabilité d’exécution de code à distance de Microsoft Office

L’utilisation après libération dans Microsoft Office permet à un attaquant non autorisé d’exécuter du code localement.

📢 CVE-2025-30378 Vulnérabilité d’exécution de code à distance de Microsoft SharePoint Server

La désérialisation de données non fiables dans Microsoft Office SharePoint permet à un attaquant non autorisé de

📢 CVE-2025-30379 Vulnérabilité d’exécution de code à distance de Microsoft Excel

La libération d’un pointeur ou d’une référence non valide dans Microsoft Office Excel permet à un attaquant non autorisé de

📢 CVE-2025-30381 Vulnérabilité d’exécution de code à distance de Microsoft Excel

La lecture hors limites dans Microsoft Office Excel permet à un attaquant non autorisé d’exécuter du code localement

📢 CVE-2025-30382 Vulnérabilité d’exécution de code à distance de Microsoft SharePoint Server

La désérialisation de données non fiables dans Microsoft Office SharePoint permet à un attaquant non autorisé de

📢 CVE-2025-30383 Vulnérabilité d’exécution de code à distance de Microsoft Excel

L’accès à une ressource à l’aide d’un type incompatible (« confusion de type ») dans Microsoft Office Excel permet un utilisateur non autorisé

📢 CVE-2025-30384 Vulnérabilité d’exécution de code à distance de Microsoft SharePoint Server

La désérialisation de données non fiables dans Microsoft Office SharePoint permet à un attaquant non autorisé de

📢 CVE-2025-30386 Vulnérabilité d’exécution de code à distance de Microsoft Office

L’utilisation après libération dans Microsoft Office permet à un attaquant non autorisé d’exécuter du code localement.

📢 CVE-2025-30387 Vulnérabilité d’élévation de privilèges sur site de Document Intelligence Studio

La limitation incorrecte d’un nom de chemin d’accès à un répertoire restreint (« traversée de chemin ») dans Azure permet un utilisateur non autorisé

📢 CVE-2025-27468 Vulnérabilité d’élévation de privilèges du pilote en mode noyau Windows

La gestion des privilèges incorrecte en mode noyau sécurisé de Windows permet à un attaquant autorisé d’élever

📢 CVE-2025-30393 Vulnérabilité d’exécution de code à distance de Microsoft Excel

L’utilisation après libération dans Microsoft Office Excel permet à un attaquant non autorisé d’exécuter du code localement.

📢 CVE-2025-29826 Vulnérabilité d’élévation de privilèges de Microsoft Dataverse

La gestion incorrecte des autorisations ou privilèges insuffisants dans Microsoft Dataverse permet un utilisateur autorisé

📢 CVE-2025-30394 Vulnérabilité de déni de service de la passerelle Bureau à distance (RD Gateway) de Windows

Le stockage de données sensibles dans une mémoire verrouillée de manière incorrecte dans Remote Desktop Gateway Service permet à un utilisateur non autorisé

📢 CVE-2025-30400 Vulnérabilité d’élévation de privilèges de la bibliothèque principale DWM de Microsoft

L’utilisation après libération dans Windows DWM permet à un attaquant autorisé d’élever les privilèges localement.

📢 CVE-2025-32701 Vulnérabilité d’élévation de privilèges du pilote du système de fichiers journaux commun de Windows

L’utilisation après libération dans Windows Common Log File System Driver permet à un attaquant autorisé d’élever le pri

📢 CVE-2025-32703 Vulnérabilité de divulgation d’informations de Visual Studio

La granularité insuffisante du contrôle d’accès dans Visual Studio permet à un attaquant autorisé de divulguer

📢 CVE-2025-32706 Vulnérabilité d’élévation de privilèges du pilote du système de fichiers journaux commun de Windows

La validation d’entrée incorrecte dans Windows Common Log File System Driver permet à un attaquant autorisé de

📢 CVE-2025-21264 Vulnérabilité de contournement de la fonctionnalité de sécurité de Visual Studio Code

Les fichiers ou répertoires accessibles à des parties externes dans Visual Studio Code permettent à un attaquant non autorisé

📢 CVE-2025-32709 Vulnérabilité d’élévation de privilèges du pilote de fonction auxiliaire Windows pour WinSock

L’utilisation après libération dans Windows Ancillary Function Driver for WinSock permet à un attaquant autorisé d’ele

📢 ADV990001 Dernières mises à jour de la pile de maintenance

Avis mis à jour pour annoncer que de nouvelles versions des mises à jour de la pile de maintenance sont disponibles. Veuillez consulter le

📢 CVE-2025-26677 Vulnérabilité de déni de service de la passerelle Bureau à distance (RD Gateway) de Windows

La consommation incontrôlée de ressources dans Remote Desktop Gateway Service permet à un attaquant non autorisé

📢 CVE-2025-27488 Vulnérabilité d’élévation de privilèges de Microsoft Windows Hardware Lab Kit (HLK)

L’utilisation d’informations d’identification codées en dur dans Windows Hardware Lab Kit permet à un attaquant autorisé d’élever p

📢 CVE-2025-26685 Vulnérabilité d’usurpation d’identité de Microsoft Defender for Identity

L’authentification incorrecte dans Microsoft Defender for Identity permet à un attaquant non autorisé d’effectuer

LinkedIn Reddit