2025-04-09_110023.jpg
Windows 11 (KB5055523, KB5055528) : Patch Tuesday d'avril 2025
CE QU'IL FAUT SAVOIR
Normalement je ne devrais pas en faire état car il ne s'agit QUE d'un patch de sécurité même si il y a une correction de bug liée à l'authentification et Kerberos, et cela n'affecte normalement que le milieu entreprise
(1), MAIS, il y a une maj impérative avec la KB5058528
Cependant il y a 134 failles corrigées dont pas des moindres
- 49 vulnérabilités d’élévation de privilèges.
9 vulnérabilités d’omission des fonctions de sécurité.
31 vulnérabilités d’exécution à distance de code.
17 vulnérabilités de divulgation d’informations.
14 vulnérabilités de déni de service.
3 vulnérabilités de spoofing.
Onze d’entre elles sont classées comme « critiques », c’est-à-dire exploitables sans interaction de l’utilisateur et l'une d'elles la CVE-2025-29824 qui est très activement exploitée (Vulnérabilité d'élévation de privilèges locaux qui affecte le pilote Windows Common Log File System (CLFS) )
D'autres mises à jour critiques concernent des failles d'exécution de code à distance dans les services Windows Remote Desktop (RDP), notamment les CVE-2025-26671, CVE-2025-27480 et CVE-2025-27482. Bien que seules les deux dernières soient jugées critiques, Microsoft indique une probabilité élevée d’exploitation.
LES BUGS CONNUS
- Utilisateurs de Roblox sous ARM : incapables de télécharger le jeu depuis la Microsoft Store, il est suggéré de le faire directement via le site roBlox.com.
- Citrix Session Recording Agent version 2411 : bloque l’installation de la mise à jour de sécurité de janvier.
- Application Voicemeeter : connue pour provoquer des BSOD à cause de conflits avec le pilote audio.
- Pilote sprotect.sys de SenseShield : induisant des erreurs critiques, a été déclaré incompatible avec la version 24H2 de Windows 11.
PROBLEMES ET CORRECTIONS
Corrections
- - Résolution des bogues d’authentification avec Windows Hello.
- Améliorations en matière de sécurité des mots de passe dans des environnements Kerberos avec Credential Guard.
- Mise à jour des composants d’IA à la version 1.7.820.0.
- Améliorations dans la pile de services du système (SSU) pour garantir de futures mises à jour correctes.
Ne sont pas mis en avant
- - la correction d'un bug dans l'Explorateur qui rendait le menu… quasiment inutile
- la correction de la fiabilité améliorée de ctfmon.exe
Un mot sur la mise à jour de la pile de maintenance Windows 11 (KB5058538) - 26100.3764
Si celle ci n'est pas à jour et installée certaines mises à jour ne seront pas proposées
Cette mise à jour améliore la qualité de la pile de maintenance, le composant qui installe les mises à jour Windows.
Les mises à jour de la pile de maintenance (SSU) garantissent une pile de maintenance robuste et fiable pour que vos appareils puissent recevoir et installer les mises à jour Microsoft.
Pour en savoir plus sur les SSU, consultez la section « Simplification du déploiement local des mises à jour de la pile de maintenance »
https://learn.microsoft.com/en-us/windo ... ck-updates
Il arrive parfois que cette pile de maintenance ne soit pas proposée en tant que mise à jour
Elle est importante car si absente, elle peut empêcher par ex le passage de la version 23H2 en 24H2 qui donc.. ne sera jamais proposée
Si elle n'est pas proposée via Windows update, elle peut apparaitre avec par ex UniGetUI
viewtopic.php?p=563342
Sinon la mise à jour de sécurité via l'autre KB, la KB5055523, patche nombre de problèmes de sécurité
https://msrc.microsoft.com/update-guide ... e/2025-Apr
Si elle n'est pas proposée ou ne fonctionne pas, il faut se rappeler qu'il y a un prérequis pour cette mise à jour qui est toujours la KB5043080 du 10.09.24.
En effet, Microsoft fournit des mises à jour incrémentielles plus petites (mises à jour de point de contrôle) en plus des mises à jour cumulatives habituelles
Mais il faut AUSSI que la pile de maintenance soit à jour
--------------------
(1) Pour les admins cela peut servir
https://techcommunity.microsoft.com/blo ... ne/4401828
Bugs relevés par les utilisateurs
Il y a un soucis pour ceux qui utilisent Edge version 135 pour la première fois (Ca ne doit pas toucher grand monde surtout que Microsoft est déjà sur le correctif), idem avec Office 2016 et la KB5002700 (Cela perturbe le calendrier Outlook, mais aussi Word et Excel lorsque vous essayez de créer un document ou une feuille de calcul) qui a été vite résolu avec la KB5002623 sortie ce jour
---------------------------------------------------------------------------------------
INETPUB
On a vu apparaitre (ce que j'ai constaté AUSSI d'où la capture) ce curieux dossier
"inetpub" (Idem sous Windows 10 du reste)
C est lié aux services Internet (IIS) et cela correspond à l'emplacement par défaut ( webroot ) du serveur web Microsoft IIS.
Normalement, les services Internet (IIS) 7.0 ne sont pas installés par défaut lors de l'installation de Windows MAIS LÀ il n'est pas nécessaire de l'utiliser, ni même de l'avoir installé, pour que le dossier soit créé (Et IIS n'a pas été installé de force)
Ce dossier est normalement utilisé par ISS pour stocker les fichiers liés à l'hébergement web.
Qu'est-ce que les services d'information Internet (IIS) ?
IIS est le logiciel serveur web de Microsoft qui fournit un cadre pour l'hébergement d'applications et de sites web.
Les développeurs utilisent souvent IIS pour créer des environnements de test locaux pour leurs projets de développement web, exécuter des services web ou utiliser des outils de débogage avancés.
Pour les tâches quotidiennes comme les jeux, la bureautique ou la navigation occasionnelle, IIS est généralement absent.
IIS et le dossier « inetpub »
Le dossier inetpub est l’emplacement par défaut où IIS stocke le contenu Web, y compris les sites Web, les journaux et les configurations.
Dans des circonstances normales, ce dossier n'apparaît que si IIS est explicitement activé ou installé.
Avec KB5055523, même les systèmes sans IIS activé manuellement créent le dossier. Il s'agit probablement du résultat de la mise à jour incluant certains services Web d'arrière-plan qui imitent les fonctionnalités IIS minimales.
En comprenant la relation entre IIS et le dossier inetpub, les utilisateurs peuvent comprendre que la mise à jour ne viole pas les protocoles de sécurité. Au contraire, elle active une fonctionnalité qui reste inactive, sauf... si elle est activement utilisée par les développeurs pour l'hébergement de services web.
Microsoft indique bien qu'il y a un lien avec
https://msrc.microsoft.com/update-guide ... 2025-21204
Bref initialement on pouvait le supprimer sans problèmes, MAIS Microsoft a ensuite révisé son article sur la vulnérabilité de sécurité et a souligné que.. le dossier ne devait pas être supprimé
« Un attaquant authentifié qui exploiterait avec succès cette vulnérabilité serait en mesure d'effectuer et/ou de falsifier des opérations de gestion de fichiers sur l'ordinateur victime dans le contexte du compte NT AUTHORITY\SYSTEM. »
Après l'installation des mises à jour répertoriées dans le résumé des mises à jour de sécurité de votre système d'exploitation, un nouveau dossier, %systemdrive%\ inetpub, sera créé sur votre appareil.
Ce dossier ne doit pas être supprimé, que les services Internet (IIS) soient actifs ou non sur l'appareil cible.
Ce comportement fait partie des modifications visant à renforcer la protection et ne nécessite aucune intervention de la part des administrateurs informatiques et des utilisateurs finaux.
Différentes théories ont emergé
Activation des outils Web intégrés :
- On suppose que la mise à jour aurait pu activer temporairement certaines fonctionnalités liées à IIS, ne serait-ce que pour des vérifications de configuration ou l'installation de nouveaux outils en arrière-plan. Ce comportement pourrait avoir été conçu pour prendre en charge de nouvelles fonctionnalités web, comme l'indexation de recherche sémantique, intégrée aux nouvelles fonctionnalités de Copilot+ PC.
Signalisation partielle des fonctionnalités :
- Dans certains cas, les fonctionnalités Windows sont activées et désactivées en fonction de nouveaux paramètres. KB5055523 peut activer par inadvertance un commutateur qui force le système d'exploitation à configurer un environnement IIS par défaut, ce qui inclut la création du dossier « inetpub », même si aucun utilisateur n'a demandé le service.
Mise à jour d'un bug ou d'un oubli :
- Il est également plausible qu'il s'agisse simplement d'un bug, un oubli dans le package de mise à jour qui déclenche par erreur l'initialisation du composant IIS. Microsoft n'a pas encore fourni d'explication définitive, laissant la possibilité d'une enquête plus approfondie et de futurs correctifs pour corriger ce comportement si nécessaire.
Edit du 24avril 2025
Il y a un soucis avec ce dossier InetPub
Le dossier officiel 'inetpub' de Microsoft permet aux pirates de bloquer définitivement les mises à jour de Windows sur les PC
Tous les détails à la source (chercheur en sécurité)
https://doublepulsar.com/microsofts-pat ... 8896cc6942
Il va donc y avoir un nouveau patch ultérieur
Edit du 07/06/2025
Microsoft en ce début juin à complété sa fiche
https://msrc.microsoft.com/update-guide ... 2025-21204
et a ajouté
"(...) Après l'installation des mises à jour répertoriées dans le résumé des mises à jour de sécurité de votre système d'exploitation, un nouveau dossier, %systemdrive%\ inetpub, sera créé sur votre appareil.
Ce dossier ne doit pas être supprimé, que les services Internet (IIS) soient actifs ou non sur l'appareil cible. Ce comportement fait partie des modifications visant à renforcer la protection et ne nécessite aucune intervention de la part des administrateurs informatiques et des utilisateurs finaux. "
De plus, insiste sur le fait que SI le dossier existe, il faut le laisser
Pour ceux qui ont effacé ce dossier par erreur, Microsoft laisse un lien vers un script PowerShell du nom de
sur
https://www.powershellgallery.com/packa ... derAcl/1.0
et indique :
Pour les systèmes sur lesquels la mise à jour KB5055528 est installée, mais où le répertoire %systemroot%\inetpub a été supprimé, une correction immédiate est requise. Si le répertoire « inetpub » a été supprimé, vous devez exécuter le script de correction « Set-InetpubFolderAcl.ps1 ».
Il suffit de faire un clic droit sur Set-InetpubFolderAcl.ps1 , puis d' enregistrer, et d'exécuter dans PowerShell.
Vous trouverez ce script dans la galerie PowerShell sous le nom Set-InetpubFolderAcl.
Ce n'est pas immédiatement visible sur la page. Il faut donc descendre sur celle-ci, et cliquer sur la flêche pour voir apparaitre le .ps1
Donc dans "la liste des fichiers", faites un clic droit sur Set-InetpubFolderAcl.ps1 -> Enregistrer sous le type, puis exécutez-le dans PowerShell.
A la lecture du script on comprend bien qu'il ne suffit pas de créer le dossier manuellement pour le remettre en place
2025-06-07_090446.jpg
Ce script définit les autorisations de sécurité pour le répertoire « inetpub ». Il est conçu pour être exécuté en tant qu'administrateur.
- Si le répertoire inetpub n'existe pas, il sera créé et les autorisations IIS par défaut seront appliquées au répertoire.
- Si un répertoire inetpub vide existe, les autorisations par défaut IIS sont appliquées au répertoire.
- Si le répertoire inetpub existe et contient uniquement le sous-répertoire DeviceHealthAttestation, les autorisations par défaut IIS sont appliquées aux deux répertoires.
- Si le répertoire « inetpub » existe et contient d’autres sous-répertoires, le script se termine sans modifications.
2025-04-11_130527.jpg
-----------------------------------------------------
AUTRES BUGS
Il y a aussi des bugs qui n'affectent pas grand monde
Par exemple si vous utilisez System Guard Secure Launch ou Dynamic Root of Trust for Measurement sous Windows 11 et Server 2025
Microsoft indique :
Après avoir installé cette mise à jour et effectué une réinitialisation par simple pression sur un bouton ou une réinitialisation de ce PC depuis Paramètres > Système > Récupération , puis en sélectionnant « Conserver mes fichiers et l'installation locale », certains utilisateurs pourraient ne pas pouvoir se connecter à leurs services Windows via la reconnaissance faciale ou le code PIN Windows Hello.
Un message Windows Hello pourrait s'afficher : « Un problème est survenu et votre code PIN n'est pas disponible. Cliquez pour le redéfinir » ou « Désolé, une erreur s'est produite lors de la configuration de la reconnaissance faciale ».
Mais précise toutefois :
« Ce problème ne concerne que les appareils sur lesquels les fonctionnalités System Guard Secure Launch ou Dynamic Root of Trust for Measurement (DRTM) sont activées après l'installation de cette mise à jour. Les appareils sur lesquels Secure Launch ou DRTM est activé avant cette mise à jour, ou ceux dont ces fonctionnalités sont désactivées, ne sont pas concernés. »
La bonne nouvelle, c'est qu'il existe une solution : il suffit de se réinscrire à Windows Hello.
Pour la reconnaissance faciale, accédez à Paramètres > Comptes > Options de connexion > Reconnaissance faciale (Windows Hello) , sélectionnez « Configurer » et suivez les instructions à l'écran.
Si vous préférez utiliser un code PIN, suivez simplement l' invite « Définir mon code PIN » sur l'écran de connexion pour vous réinscrire à Windows Hello.
A NOTER
Pour ceux qui disposent de la suite OFFICE 2016, cette KB est venue avec une autre : La
KB5002700
Problème, cette entraînait le blocage et le blocage des applications. Outlook, Word et Excel
Microsoft a résolu le problème avec la mise à jour
KB5002623
Support (N'existe qu'en Anglais)
https://support.microsoft.com/en-us/top ... b48c19523f
Microsoft précise que pour restaurer l'intégralité de la suite Office 2016, les mises à jour KB5002700 et KB5002623 doivent être installées.
Microsoft a également corrigé via cette KB un problème de saisie au clavier dans Word : les touches Retour arrière et Entrée ne fonctionnaient plus dans une liste
----------------------------------
Edit du 12/04/2025
Mise à jour suite au revirement de Microsoft sur le dossier InetPub et complément pour une résolution de bugs avec Office 2016
- A noter (hors insider) sera bientôt disponible pour tous la sortie de la
KB5055627 pour Windows 11 24H2
Curiosité de la chose, la taille du fichier...
Une personne a extrait tout ce qui était en lien avec Copilot+ dont il ne voulait pas et est arrivé à un fichier de 847 862 Ko au lieu de ...3,9 Go.
Ex de correction de bug
[Protocole de configuration d'hôte dynamique (client DHCP)] Corrigé : cette mise à jour résout un problème qui affecte la connectivité Internet sur les appareils après la sortie de veille. Les connexions Internet peuvent être interrompues.
et il y a quelques problèmes connus comme
Après l’installation de cette mise à jour, l’environnement de récupération Windows (WinRE) peut ne pas fonctionner et vous ne pourrez peut-être pas utiliser l’option « Résoudre les problèmes avec Windows Update » dans Paramètres > Récupération. Ces problèmes seront résolus dans une future mise à jour.
-------------------------------------------------
Edit du 14/04/2025
L'installation de la KB5055523 pour Windows 11 échoue avec les erreurs
- 0x80070306
0x800f0905
0x800704ec
Dans de nombreux cas, l’installation se bloque à 20 %, 70 %, voire 100 %, sans jamais aboutir.
Un utilisateur, après avoir analysé les journaux du service Windows Update, évoque un problème de
bibliothèque .dll corrompue.
L’exécution de la commande système sfc /scannow, censée réparer les fichiers système endommagés, ne suffit pas toujours à résoudre le problème. Malgré l’absence de réponse officielle à ce jour, Microsoft serait informé de ces dysfonctionnements.
Parfois/souvent comme par le passé il faut télécharger manuellement la KB sur le site Microsoft
C'est Microsoft qui l'indique ;
Lorsque Windows Update échoue, télécharger manuellement le fichier .msu depuis le Catalogue Microsoft Update
Par ex dans le cas présent
https://www.catalog.update.microsoft.co ... =KB5055523
ou utiliser l’outil d’assistant de mise à jour qui permet souvent de contourner le problème sans perte de données.
WindowsUpdate , Options Avancées, Récupération et Résoudre les problèmes avec Windows Update (Réinstaller maintenant).
De là, Windows télécharge une version de réparation à jour sans rien toucher aux programmes et paramètres
Dans d’autre cas
Windows Hello ne fonctionne plus correctement après l’installation de la mise à jour. La défaillance touche en particulier sur les PC portables équipés d’un capteur infrarouge et de fonctions de confidentialité matérielle permettant de masquer par exemple l’objectif de la caméra (Lenovo, HP…). En effet il était possible de couvrir la caméra couleur pour des raisons de sécurité tout en continuant à utiliser la reconnaissance faciale via la caméra infrarouge. Désormais, cela ne fonctionne plus : Windows Hello affiche un message d’erreur, ou pire, ne reconnaît plus du tout l’utilisateur.
Solution ;
- Ouvrez le Gestionnaire de périphériques.
Dans la section Caméras, identifiez et désactivez la caméra couleur (RVB) tout en gardant active la caméra infrarouge.
Rendez-vous dans Paramètres > Comptes > Options de connexion > Windows Hello Face pour reconfigurer la reconnaissance faciale.
La démarche ne fonctionne cependant pas pour tout le monde.
Dans les cas les plus graves, la seule option reste de désinstaller KB5055523 depuis l’historique des mises à jour.
---------------------
Edit du 17/04/2025
Selon Microsoft, les mises à jour de sécurité d'avril 2025 pour Windows 11 version 24H2 provoquent des écrans bleus au redémarrage des ordinateurs.
(BSOD)
Source :
https://support.microsoft.com/en-us/top ... workaround
Dans ce cas, Windows 11 affiche le code d'erreur 0x18B « SECURE_KERNEL_ERROR ». Voici ce que Microsoft indique dans la documentation officielle
Après avoir installé cette mise à jour et redémarré votre appareil, vous pourriez rencontrer une exception d'écran bleu avec le code d'erreur 0x18B indiquant une SECURE_KERNEL_ERROR.
Heureusement, les utilisateurs ne devraient pas trop s'inquiéter. Microsoft a mis en place une solution temporaire grâce au système de restauration des problèmes connus (KIS), qui, une fois déployé, supprime les éléments de code problématiques afin de réparer les dommages sur les systèmes affectés.
Pour les utilisateurs réguliers et les environnements non gérés, aucune action n'est nécessaire à ce stade.
Vous pouvez redémarrer votre système pour accélérer le processus et permettre au correctif de se propager plus rapidement (les correctifs prennent généralement jusqu'à 24 heures pour atteindre tous les systèmes cibles).
Dans les environnements gérés, en revanche, les administrateurs informatiques doivent déployer des correctifs de restauration des problèmes connus avec des politiques spécifiques. Pour ce cas particulier, la politique nécessaire est disponible dans la documentation officielle .
https://support.microsoft.com/en-us/top ... workaroundVous ne pouvez pas consulter les pièces jointes insérées à ce message.
KB5051987 de Windows 11 version 24H2 entraîne des dysfonctionnements majeurs
- Après installation, de nombreux utilisateurs constatent que l'Explorateur Windows ne répond plus lors de l'accès à des dossiers, même via des raccourcis ou une recherche Windows tels que "Bureau", "Documents" "Images".
A prendre en considération 
Mise à jour KB de Windows : tout savoir
