Pour le deuxième Patch Tuesday de cette année 2026, Microsoft corrige une cinquantaine de vulnérabilités de sécurité qui touchent ses produits, allant de Windows à Office en passant par les outils pour développeurs. Dans le lot, six failles zero-day exploitées par des attaquants avant même la disponibilité d’un correctif.
Quelles sont les failles zero-day ?
Parmi les six vulnérabilités activement exploitées, CVE-2026-21510 affecte Windows Shell, l’interface graphique de Windows. Elle permet de contourner les protections de sécurité comme Windows SmartScreen via un simple clic sur un lien malveillant (un fichier raccourci .Ink).
Les avertissements de sécurité de Windows Shell sont également contournés et du contenu contrôlé par l’attaquant peut être exécuté à l’insu de l’utilisateur. Pour autant, Microsoft n’évoque pas une vulnérabilité de type exécution de code à distance.
D’autres failles zero-day incluent CVE-2026-21513 pour le framework MSHTML (mode Internet Explorer dans Microsoft Edge et d’autres applications via le contrôle WebBrowser) et CVE-2026-21514 pour un contournement de sécurité dans Microsoft Word.
Des vulnérabilités d’élévation de privilèges touchent les services de bureau à distance Windows (CVE-2026-21533) et le Desktop Window Manager (CVE-2026-21519). En outre, une vulnérabilité CVE-2026-21525 de déni de service affecte Windows Remote Access Connection Manager, alias RasMan.
Attention pour les développeurs !
Plusieurs failles de sécurité concernent directement les environnements de développement. Des vulnérabilités d’exécution de code à distance ont été identifiées dans GitHub Copilot et plusieurs IDE tels que Visual Studio, VS Code et JetBrains (CVE-2026-21516, CVE-2026-21523 et CVE-2026-21256). Une injection de prompt peut notamment être à l’origine d’un déclenchement des failles.