Le Patch Tuesday de Microsoft tombe dans la démesure

Le Patch Tuesday de Microsoft tombe dans la démesure


Le Patch Tuesday de juillet 2026 de Microsoft va-t-il rester dans les annales ? Il est synonyme du déploiement d’un record de correctifs pour combler 570 vulnérabilités de sécurité. Le Patch Tuesday de juin dernier n’était donc qu’une petite mise en bouche.

Parmi ce volume colossal, près de 60 vulnérabilités ont été classées comme critiques, tandis que trois vulnérabilités sont zero-day. Avant la disponibilité d’un correctif, la définition retenue par Microsoft est une exploitation dans la nature ou une divulgation publique sans forcément une exploitation active.

Pourquoi un tel volume de correctifs ?

L’explication a été fournie par Microsoft. Le groupe avait prévenu que les utilisateurs de Windows remarqueraient un volume plus élevé de mises à jour de sécurité incluses dans chaque publication, en raison de l’aide de l’IA dans la découverte des vulnérabilités.

Le rythme de détection est bouleversé.  » Le rythme de la découverte de vulnérabilités change avec les avancées de l’IA, qui permettent de trouver plus de problèmes, plus rapidement, sur plus de code. « 

Cette nouvelle capacité d’analyse accélère à la fois la découverte et l’analyse, menant inévitablement à des lots de correctifs bien plus importants que par le passé.


Les trois failles zero-day du Patch Tuesday de juillet

Deux vulnérabilités sont déjà exploitées activement par des attaquants. La première, CVE-2026-56155, affecte les services de fédération Active Directory (AD FS) et permet une élévation de privilèges. La seconde faille activement exploitée est CVE-2026-56164, qui touche Microsoft SharePoint Server et permet également une élévation de privilèges.

La troisième vulnérabilité zero-day est CVE-2026-50661. Il s’agit d’une faille de contournement de la sécurité de Windows BitLocker. Si des détails ont été rendus publics, elle nécessite un accès physique à l’appareil pour être exploitée. Il n’y a pas de signalement d’une exploitation active.

Une IA a double tranchant dans la course à la sécurité

Si l’IA aide les défenseurs, elle arme aussi les attaquants. Ces derniers peuvent désormais créer des exploits fonctionnels beaucoup plus rapidement.

À ce titre, Tenable souligne que l’indice d’exploitabilité de Microsoft, qui évalue la probabilité qu’une faille soit exploitée, devient moins pertinent. Il est centré sur les humains… pas sur les outils d’IA.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *