Microsoft vient de corriger 79 failles de sécurité identifiées dans le code de Windows avec son dernier Patch Tuesday. En plus de trois failles critiques, l’éditeur colmate aussi deux vulnérabilités de type zéro-day. On vous recommande de faire la mise à jour sans tarder.
Réglé comme une horloge, Microsoft vient de publier son Patch Tuesday de mars 2026. En plus de l’arrivée de plusieurs fonctions, la mise à jour corrige un total de 79 vulnérabilités identifiées dans le code du système d’exploitation. Parmi les failles colmatées, on trouve trois brèches qualifiées de critiques par Microsoft. Elles peuvent être exploitées par des pirates sans que l’utilisateur n’interagisse de façon significative. C’est pourquoi Microsoft considère qu’il s’agit de vulnérabilités critiques, à corriger de toute urgence.
À lire aussi : Microsoft vient de détruire l’arme secrète des pirates pour contourner la double authentification
Les 3 failles critiques corrigées par le Patch Tuesday
On trouve tout d’abord une faille de Microsoft Office qui permet à un pirate d’exécuter du code à distance. Pour exploiter la faille, l’attaquant n’a qu’à envoyer un fichier malveillant par mail à sa cible. Il suffit que celle-ci ouvre le fichier dans le volet de prévisualisation pour que la faille soit exploitée.
La seconde faille considérée comme critique se situe également dans Microsoft Office. Là encore, la cyberattaque repose sur le volet de prévisualisation d’Outlook ou de l’explorateur Windows. Elle survient lorsqu’un pointeur mémoire provenant d’une source non vérifiée, comme un fichier malveillant, est mal dirigé par le système. Dès lors, Microsoft Office se retrouve redirigé vers une zone mémoire contrôlée par l’attaquant, ce qui permet d’aboutir à une injection de code dans le programme.
La troisième vulnérabilité critique dans Microsoft Excel, et dans son intelligence artificielle, Copilot Agent. En exploitant ce mode reposant sur l’IA, un pirate était en mesure de forcer Copilot à envoyer des informations vers un serveur externe. Il peut ainsi exfiltrer des données à l’insu de sa cible. Là encore, l’exploitation ne nécessite pas d’interaction significative avec l’utilisateur, ce qui rend la faille particulièrement redoutable.
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait forcer le mode Agent de Copilot à exfiltrer des données via un trafic réseau non prévu, ouvrant la voie à une attaque de type divulgation d’informations sans clic », explique Microsoft.
À lire aussi : Attention ce vrai mail de Microsoft est utilisé pour une arnaque redoutable
Deux failles zero-day au programme
Surtout, la mise à jour de mars 2026 corrige deux failles de sécurité de type zero-day. Pour Microsoft, une faille zero-day désigne « une vulnérabilité divulguée publiquement pour laquelle aucun correctif officiel n’est encore disponible ». Ce mois-ci, aucune des deux n’a été activement exploitée par des pirates. Comme nous l’explique Satnam Narang, ingénieur chez Tenable, « aucune des deux vulnérabilités zero day corrigées ce mois ci n’a fait l’objet d’exploitation active », et leur « seule particularité tient au fait qu’elles avaient été rendues publiques avant la publication des correctifs ». À ce stade, « ces failles présentent un risque d’exploitation relativement limité », estime l’ingénieur.
La première faille concerne Microsoft SQL Server, le logiciel de Microsoft qui sert à stocker et organiser des millions de données. Elle survient lorsque SQL Server vérifie mal les permissions d’un utilisateur authentifié sur le réseau. Celui-ci peut alors devenir un administrateur complet à distance. La seconde vulnérabilité permet tout simplement de faire planter n’importe quelle application à distance en envoyant des données truquées. Il faut impérativement redémarrer le système.
Pour sécuriser immédiatement votre PC Windows, appliquez le Patch Tuesday de mars 2026 fraîchement publié par Microsoft. Ouvrez les Paramètres Windows, puis rendez-vous dans Windows Update et lancez la recherche de mises à jour. Les correctifs se téléchargeront et s’installeront automatiquement. Un redémarrage sera nécessaire pour finaliser l’installation
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.