Chaque deuxième mardi du mois, Microsoft publie son traditionnel Patch Tuesday. Fidèle à ses habitudes, le géant américain vient de corriger un total de 120 vulnérabilités identifiées dans le code de Windows. Bonne nouvelle, aucune de ces failles n’a été classée comme une faille zero day. En d’autres termes, les pirates n’ont pas eu l’occasion d’exploiter les brèches avant que Microsoft ne puisse agir. A contrario, l’éditeur avait épinglé deux failles zero day le mois dernier, dans le cadre du second Patch Tuesday « le plus important jamais enregistré ».
« Le Patch Tuesday de mai 2026 met fin à une longue série puisqu’il s’agit de la première publication depuis près de deux ans à ne contenir aucune faille zero-day. Depuis juillet 2024, chaque publication incluait au moins une zero-day soit activement exploitée, soit divulguée publiquement, avec une moyenne de 3,5 zero-day par mois sur une série de 22 mois », nous explique Satnam Narang de Tenable.
17 failles classées comme critiques
Sur les 120 vulnérabilités corrigées, 17 d’entre elles sont considérées comme critiques. C’est le niveau de gravité le plus élevé sur l’échelle d’évaluation de Microsoft. Parmi elles, 14 failles permettent aux attaquants d’exécuter du code à distance sur un ordinateur. Concrètement, un attaquant pourrait prendre le contrôle de votre ordinateur sans y avoir accès physiquement, simplement en envoyant des instructions malveillantes sur le réseau.
Le patch colmate aussi 61 failles d’élévation de privilèges. Ces vulnérabilités peuvent être exploitées par un pirate qui est déjà parvenu à pénétrer sur la machine pour gagner des droits supplémentaires. Enfin, on trouve aussi 14 failles de divulgation d’informations, 13 failles d’usurpation d’identité, 8 failles de déni de service et 6 failles de contournement des mécanismes de sécurité. Mises bout à bout, et combinées dans le cadre d’une cyberattaque, elles peuvent permettre de compromettre un ordinateur. Avec ce patch, Microsoft a déjà corrigé plus de 500 failles cette année.
« Cinq mois après le début de l’année 2026, Microsoft a déjà corrigé plus de 500 failles, ce qui le place sur une trajectoire susceptible de dépasser le record de 1 245 vulnérabilités corrigées sur une seule année civile, établi en 2020 », ajoute Tenable.
À lire aussi : Microsoft Defender a provoqué le chaos sur Windows par excès de zèle
Trois failles particulièrement préoccupantes
Parmi les vulnérabilités les plus préoccupantes, on trouve une faille dans un composant graphique de Windows. Pour lancer l’exécution de code malveillant sur le système, le pirate doit simplement pousser la cible à ouvrir un fichier image au format EMF (Enhanced Metafile) dans Microsoft Paint. La faille est préoccupante car le format EMF est courant dans les environnements professionnels, notamment dans les documents générés automatiquement par des imprimantes ou des logiciels de bureautique.
La seconde faille la plus inquiétante du lot concerne SharePoint Server, l’une des plateformes collaboratives les plus répandues dans le monde de l’entreprise. Exploitée par un pirate, elle permet à un attaquant déjà authentifié d’exécuter du code directement sur le serveur par le biais du réseau, sans le moindre accès physique. Un attaquant qui possède un simple compte utilisateur sur SharePoint, même sans droits d’administrateur, peut exploiter cette faille. Concrètement, un ancien employé dont le compte n’a pas été désactivé, un prestataire externe avec un accès limité, ou même un compte compromis par une attaque phishing en amont peuvent servir de point de départ à une cyberattaque d’envergure.
La troisième faille se situe dans le client DNS de Windows, le composant qui traduit les noms de sites web en adresses IP. Pour exploiter cette faille, un serveur malveillant doit envoyer une réponse DNS piégée au PC de la victime, ce qui va provoquer un débordement mémoire, suivi par l’exécution de code à distance. Aucun clic et aucune action de l’utilisateur n’est nécessaire à la cyberattaque.
À lire aussi : Microsoft Edge met en danger vos mots de passe, et l’éditeur est au courant
Installez la mise à jour sans traîner
Pour protéger votre PC Windows, n’attendez pas pour installer le Patch Tuesday de mai 2026. Rendez-vous dans les Paramètres Windows, puis dans la section Windows Update et lancez une recherche de mises à jour. Le correctif se téléchargera et s’installera automatiquement, et un simple redémarrage suffira pour que votre machine soit pleinement sécurisée.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
