Microsoft publie en juillet 2025 des correctifs majeurs pour Windows, Office, SharePoint, SQL et Visual Studio, tandis que Google Chrome et Edge corrigent une faille Zero Day critique.
Le mois de juillet 2025 marque un Patch Tuesday particulièrement dense, avec 130 nouvelles vulnérabilités (CVE) traitées par Microsoft, dont 14 classées au niveau Critique. Ces failles concernent l’ensemble des environnements Windows, mais touchent également Office, SharePoint et SQL Server, des composants majeurs dans les systèmes d’information des entreprises. Microsoft fait état d’une divulgation publique cette fois, avec la correction d’une faille (CVE-2025–49719) dans Microsoft SQL. Cette vulnérabilité de divulgation d’informations, dont la publication a été confirmée par Microsoft, bénéficie d’un score CVSS v3.1 de 7,5 et est considérée de niveau Important, bien que le code d’exploitation n’ait pas encore été démontré.
D’après les données officielles publiées le 9 juillet 2025, Microsoft recommande l’application rapide des correctifs, les vulnérabilités critiques pouvant permettre l’exécution de code à distance, notamment au travers du service Windows RRAS (Routing and Remote Access Service). Seize failles (CVE) ont été corrigées sur ce composant réseau, exposant les systèmes Windows Server à un risque d’exploitation par des acteurs non authentifiés. Microsoft précise que l’attaque ne nécessite pas de privilèges particuliers et peut être initiée via le réseau. Il est donc conseillé de limiter l’exposition en restreignant l’accès aux ports RRAS à des réseaux de confiance ou via des VPN, et de désactiver les fonctionnalités RRAS non utilisées.
« Les vulnérabilités RRAS, si elles ne sont pas corrigées, peuvent être exploitées sans privilège sur le réseau », rappelle le rapport officiel de Microsoft du 9 juillet 2025.
La situation du service DHCP sous Windows Server, perturbé depuis le Patch Tuesday de juin 2025, s’est également normalisée. Plusieurs entreprises avaient rapporté des problèmes de renouvellement d’adresse IP et des interruptions du service DHCP suite à l’application des mises à jour de juin. Selon les articles de connaissances (KB) mis à jour, ainsi qu’une vérification croisée sur le moteur de recherche Gemini le 8 juillet 2025, ce dysfonctionnement a bien été résolu par les correctifs publiés ce mois-ci. Avant la publication de ces correctifs, la solution temporaire recommandée consistait à désinstaller les mises à jour de juin, au prix d’une exposition accrue à d’autres vulnérabilités.
Git, Chrome, Edge et Visual Studio : correctifs urgents
Outre les produits phares, sept vulnérabilités liées à Git et deux vulnérabilités additionnelles nécessitant la mise à jour de Visual Studio sont corrigées ce mois-ci. Ces failles, signalées par MITRE, touchaient directement l’outil de versionnage Git intégré à Visual Studio, utilisé massivement dans le développement de logiciels. Les mises à jour de Visual Studio sont donc recommandées à tous les développeurs concernés.
Si Microsoft concentre l’attention par le volume de ses correctifs, la plus forte alerte de sécurité de ce début d’été concerne la quatrième vulnérabilité Zero Day de l’année pour Google Chrome. Signalée sous la référence CVE-2025-6554, cette faille a été corrigée dans le build 138.9.7204.96/.97 pour Windows, 138.0.7204.92/.93 pour Mac et 138.0.7204.92 pour Linux. La publication du correctif le 30 juin 2025 précède de quelques jours le Patch Tuesday, mais son importance est majeure, dans la mesure où elle a déjà été exploitée activement. Microsoft Edge, navigateur basé sur le même moteur Chromium, bénéficie également de cette correction.
La diffusion du correctif étant en cours sur l’ensemble des plateformes, la priorité de sécurité numéro un ce mois-ci, selon la méthodologie de priorisation basée sur les risques, est d’assurer le déploiement effectif des mises à jour Chrome et Edge sur tous les postes de travail. « Les administrateurs doivent vérifier que la dernière version de Chrome et Edge est bien déployée pour contrer l’exploitation Zero Day CVE-2025-6554 », précise le communiqué officiel de Google.
Vulnérabilités tierces et recommandations
Les vulnérabilités tierces restent donc le point de vigilance principal en juillet 2025, bien que la volumétrie côté Microsoft soit importante. Les administrateurs système sont invités à maintenir un niveau de patching élevé sur l’ensemble des solutions Microsoft et Google, notamment dans les environnements d’entreprise. Les correctifs de juillet 2025 ne comportent toutefois pas, selon les publications officielles, de risque de sécurité significatif non corrigé ou d’incident majeur en cours. La priorité reste le déploiement rapide des correctifs disponibles.
Les recommandations générales pour limiter l’exposition aux vulnérabilités, comme la restriction des accès réseaux, la désactivation des fonctions inutilisées et l’application rapide des correctifs, demeurent d’actualité. Il convient également de s’assurer que la mise à jour de l’OS Windows Server est appliquée, particulièrement pour les organisations qui auraient désinstallé la mise à jour de juin à cause des problèmes DHCP.
