Pour son troisième Patch Tuesday de 2026, Microsoft corrige plus de 80 vulnérabilités de sécurité affectant ses produits. Moins copieux en correctifs, le mois de février avait été marqué par six failles zero-day exploitées dans des attaques. Pour ce mois de mars, la situation est différente.
Si Microsoft retient une définition de zero-day pour deux vulnérabilités, c’est uniquement en raison d’une divulgation publique, mais sans exploit à déplorer dans la nature. Autrement dit, pas d’exploitation active observée avant l’arrivée du correctif salvateur.
Les deux vulnérabilités divulguées publiquement
CVE-2026-26127 est une vulnérabilité de type déni de service dans le framework .NET, tandis que CVE-2026-21262 est une vulnérabilité d’élévation de privilèges dans SQL Server permettant à un attaquant autorisé d’obtenir les droits sysadmin sur le réseau.
» À ce stade, ces failles présentent un risque d’exploitation relativement limité. La vulnérabilité de déni de service est considérée comme peu susceptible d’être exploitée et nécessite qu’un attaquant dispose déjà d’un accès autorisé. La faille d’élévation de privilèges est également jugée moins probable à exploiter « , commente la société de cybersécurité Tenable.
Tenable souligne que plus de la moitié des vulnérabilités corrigées pour ce mois de mars concernent des élévations de privilèges. Parmi elles, six sont considérées comme plus susceptibles d’être exploitées et touchent notamment Windows Graphics Component, Windows Accessibility Infrastructure, Windows Kernel, Windows SMB Server et Winlogon.
Plusieurs failles critiques méritent l’attention
En matière de vulnérabilités critiques, les failles d’exécution de code à distance CVE-2026-26110 et CVE-2026-26113 dans Microsoft Office sont à mettre en avant. Elles peuvent être déclenchées en affichant un message piégé dans le volet de prévisualisation, sans même que l’utilisateur n’ouvre le fichier.
Aussi critique et de type exécution de code à distance, la faille CVE-2026-21536 pour le Microsoft Devices Pricing Program est notable pour sa découverte par une IA autonome. En l’occurrence, l’agent nommé XBOW l’a identifiée sans accès au code source.
De type divulgation d’informations, CVE-2026-26144 dans Excel met en lumière un nouveau vecteur d’attaque. La faille critique (cross-site scripting) peut être utilisée afin de forcer l’assistant Copilot pour Excel à exfiltrer des données via une sortie réseau non intentionnelle.