Patch Tuesday : 200 failles de sécurité corrigées, dont 3 zero-day identifiées.

Patch Tuesday – Juin 2026 : Microsoft corrige 200 failles de sécurité, dont 3 zero-day

Le programme du Patch Tuesday de juin 2026 publié par Microsoft est particulièrement chargé. En effet, 200 failles de sécurité ont été corrigées dans l’ensemble des produits et services de la société. Parmi ces vulnérabilités, 3 sont des failles zero-day déjà divulguées.

Microsoft continue d’exploiter l’intelligence artificielle pour identifier les failles de sécurité, utilisant le système multi-agents MDASH pour cette tâche. Le Patch Tuesday, publié le mardi 9 juin 2026, révèle un total de 200 vulnérabilités, dont 33 sont classées comme critiques, un chiffre supérieur à la moyenne habituelle.

Liste des failles de sécurité critiques

Parmi les failles critiques, on note :

• Active Directory (AD DS) : CVE-2026-45648
• Kerberos : CVE-2026-47288
• Client Bureau à distance : plusieurs vulnérabilités, dont CVE-2026-42985 et CVE-2026-47289
• Hyper-V : CVE-2026-45641, CVE-2026-47652
• Services Cryptographiques : CVE-2026-44810
• Client DHCP : CVE-2026-44815
• HTTP.sys : CVE-2026-47291
• Microsoft Office : plusieurs vulnérabilités, dont CVE-2026-45463

Un nombre préoccupant de failles critiques a été découvert, notamment 11 vulnérabilités dans le client Bureau à distance de Windows, dont certaines permettent l’exécution de code à distance. Cela pourrait exposer les utilisateurs à des attaques si des connexions RDP sont établies sur des serveurs contrôlés par des attaquants.

Les failles zero-day de juin 2026

Trois failles zero-day ont été patchées, toutes déjà divulguées :

1. CVE-2026-45586 (GreenPlasma) : Cette vulnérabilité permet une élévation de privilèges sur Windows via CTFMON, donnant à un attaquant la possibilité d’obtenir des privilèges SYSTEM.

2. CVE-2026-50507 (YellowKey) : Elle permet de contourner BitLocker, exposant les données normalement protégées par chiffrement. L’accès physique est requis pour exploiter cette vulnérabilité.

3. CVE-2026-49160 (HTTP/2 Bomb) : Cette vulnérabilité, déjà connue, provoque un déni de service sur des serveurs Web comme Apache2 et Nginx, pouvant être exploitée en moins d’une minute.

Ces mises à jour soulignent l’importance d’une vigilance accrue en matière de cybersécurité, en particulier pour les utilisateurs de produits Microsoft.

Source : Microsoft Security Response Center