Patch Tuesday décembre 2025 : 57 vulnérabilités corrigées dont 3 zero-day (Windows, PowerShell, Copilot JetBrains)

Source: IT-Connect (article de Florian Burnel). Microsoft publie le Patch Tuesday de décembre 2025, dernier de l’année, avec 57 correctifs de sécurité, dont 3 vulnérabilités zero-day. Parmi elles, une est déjà activement exploitée. Le lot inclut 19 failles RCE, avec 3 critiques : Microsoft Office (CVE-2025-62554, CVE-2025-62557) et Microsoft Outlook (CVE-2025-62562). Les correctifs Edge ne sont pas comptabilisés.

🚨 Zero-day 1 — CVE-2025-62221 (Windows – Cloud Files Mini Filter): vulnérabilité de type use-after-free permettant une élévation de privilèges jusqu’à SYSTEM. Microsoft indique qu’elle est déjà exploitée. Versions affectées: Windows 10, Windows 11, Windows Server 2022, Windows Server 2025.

🚨 Zero-day 2 — CVE-2025-64671 (GitHub Copilot for JetBrains): injection de commande due à une neutralisation incorrecte des éléments spéciaux, permettant l’exécution de code local. Exploitable via injection de requêtes croisées dans des fichiers non fiables ou des serveurs MCP.

🚨 Zero-day 3 — CVE-2025-54100 (PowerShell): exécution de code à distance via le cmdlet Invoke-WebRequest. Le parsing du contenu peut exécuter du code PowerShell embarqué dans la page. Microsoft ajoute le paramètre -UseBasicParsing pour éviter cette exécution et un nouvel avertissement: “Security Warning: Script Execution Risk”.

🧩 Autres composants affectés (exemples) : Windows ReFS (CVE-2025-62456), RRAS (CVE-2025-62549, CVE-2025-62473), Exchange (CVE-2025-64666, CVE-2025-64667), SharePoint (CVE-2025-64672), Windows Installer (CVE-2025-62571), Explorateur de fichiers (CVE-2025-62565), agent Azure Monitor (CVE-2025-62550). Rappel de novembre 2025: correctifs pour SQL Server (CVE-2025-59499), Smart Card (CVE-2025-59505), RDP (CVE-2025-60703), Kerberos (CVE-2025-60704), Hyper-V (CVE-2025-60706), RRAS (CVE-2025-62452).

🛠️ Mises à jour Windows: Windows 10 KB5071546, Windows 11 KB5072033.

TTPs observés:

Élévation de privilèges via use-after-free (CVE-2025-62221)
Injection de commande par neutralisation incorrecte et injection de requêtes croisées (CVE-2025-64671)
Exécution de scripts intégrés lors du parsing d’Invoke-WebRequest (CVE-2025-54100)

Type d’article: patch de sécurité récapitulant les correctifs et vulnérabilités du Patch Tuesday de décembre 2025.

🔗 Source originale : https://www.it-connect.fr/patch-tuesday-decembre-2025-microsoft-recapitulatif/