La saison 2026 du Patch Tuesday est lancée par Microsoft. Cette première fournée pour l’année qui débute est dense. C’est une sorte de tradition, après la pause des fêtes. Au programme, plus de 110 vulnérabilités de sécurité à combler, dont 8 critiques.
Une vulnérabilité 0-day exploitée dans la nature
Sans être jugée critique, la vulnérabilité la plus urgente est CVE-2026-20805. De type divulgation d’informations, elle affecte le Desktop Window Manager (DWM) de Windows pour l’affichage des fenêtres à l’écran.
Microsoft a confirmé une exploitation active dans la nature, ce qui signifie que des attaquants l’utilisaient déjà avant la disponibilité du correctif. Cette faille zero-day permet de lire des adresses mémoire, et ouvre ainsi la possibilité de contourner des protections comme l’ASLR (Address Space Layout Randomization).
S’il est question d’un accès local au système ciblé pour une exploitation, la faille peut néanmoins faire partie d’une chaîne d’attaque avec une autre vulnérabilité d’exécution de code à distance. Un risque qui n’est donc pas à négliger.
Quels autres correctifs faut-il surveiller ?
Une autre vulnérabilité CVE-2026-21265 requiert une attention particulière. Il s’agit d’un contournement de la fonctionnalité de sécurité Secure Boot de Windows, en lien avec l’expiration prochaine de certificats.
Si les systèmes ne sont pas mis à jour, ils risquent de ne plus pouvoir recevoir de correctifs de sécurité pour le démarrage sécurisé. De quoi augmenter une exposition aux rootkits.
Par ailleurs, plusieurs vulnérabilités critiques d’exécution de code à distance touchent Microsoft Office, dont CVE-2026-20952 et CVE-2026-20953. Le volet de prévisualisation peut faire office de vecteur d’attaque, sans besoin d’ouvrir manuellement un document malveillant.
Du ménage dans les pilotes natifs
Ce Patch Tuesday marque aussi une étape dans la maintenance de Windows, avec la suppression de pilotes de modem Agere vieillissants (CVE-2023-31096) installés dans Windows depuis des belle lurette (agrsm64.sys et agrsm.sys). Ils sont devenus une source de failles et Microsoft fait le choix de les retirer complètement pour réduire la surface d’attaque.