Analyse Patch Tuesday Novembre 2025

Satnam Narang, Senior Staff Research Engineer chez Tenable partage son analyse sur la mise à jour du Patch Tuesday de Microsoft de ce mois-ci.

Ce mois-ci, 63 vulnérabilités corrigées, contre 167 en octobre, mais un zero-day d’élévation de privilèges dans le noyau Windows (CVE-2025-62215, score CVSS 7) déjà exploité dans la nature et des failles critiques touchant Windows, Office et même les outils d’IA générative.

63 vulnérabilités

Microsoft n’a corrigé que 63 vulnérabilités dans sa mise à jour de sécurité de novembre, soit une baisse de 62 % par rapport aux 167 CVE du mois dernier. Il ne faut toutefois pas se laisser tromper par cette baisse. La mise à jour de novembre contient toujours un nombre important de correctifs notables.

Une seule vulnérabilité zero-day

Ce mois-ci, une seule vulnérabilité zero-day a été corrigée dans le cadre du Patch Tuesday. CVE-2025-62215 est une vulnérabilité d’élévation de privilèges dans le noyau Windows. La description indique que son exploitation suppose de réussir une condition de compétition, ce qui constitue souvent un frein en tant que prérequis.

Microsoft a néanmoins confirmé que cette vulnérabilité avait été exploitée dans la nature. Si nous n’avons pas encore une vision complète de son exploitation, le fait qu’il s’agisse d’une faille d’élévation de privilèges suggère qu’elle a probablement été utilisée dans le cadre d’une activité post-exploitation par un attaquant, après que celui-ci a déjà réussi à accéder au système ciblé, par exemple via de l’ingénierie sociale, du phishing ou l’exploitation d’une autre vulnérabilité. Il s’agit de l’une des 11 failles d’élévation de privilèges corrigées dans le noyau Windows en 2025.

Une vulnérabilité d’exécution de code à distance dans l’extension Microsoft Visual Studio Code CoPilot Chat

Microsoft a également corrigé CVE-2025-62222, une vulnérabilité d’exécution de code à distance dans l’extension Microsoft Visual Studio Code CoPilot Chat. Elle découle d’une faille d’injection de commandes, qui pourrait permettre à un attaquant d’obtenir des privilèges d’exécution de code. Même si elle est classée comme peu susceptible d’être exploitée, elle illustre l’intérêt croissant pour la recherche de failles dans l’IA générative ou l’IA dite “agentique”, qui inclut les grands modèles de langage, qu’il s’agisse de modèles propriétaires ou open source, ainsi que les outils d’édition de code assistés par l’IA.

Dossiers complémentaires sur le sujet avec les experts du site iTPro.fr

Microsoft Patch Tuesday Mars 2025

Microsoft Patch Tuesday Mai 2025

Microsoft Patch Tuesday Juin 2025

Microsoft Patch Tuesday Août 2025

Microsoft Patch Tuesday Octobre 2025