Le Patch Tuesday de mai 2026 de Microsoft met un terme à une longue série. Tenable souligne qu’il s’agit de la première publication depuis près de deux ans à ne contenir aucune faille zero-day.
Malgré cette bonne nouvelle, le nombre de vulnérabilités corrigées reste élevé, avec plus de 130 vulnérabilités recensées par Microsoft, dont une trentaine jugées critiques. Et depuis le début de cette année, Microsoft a déjà corrigé plus de 500 vulnérabilités.
Cette inflation de correctifs s’inscrit dans une tendance générale de l’industrie, probablement accélérée par l’utilisation d’outils de détection de bugs assistés par l’IA.
Les failles les plus critiques à corriger en priorité
Parmi les correctifs les plus urgents, deux vulnérabilités se distinguent par leur potentiel de nuisance.
La première, référencée CVE-2026-41089, affecte le service Windows Netlogon et permet une exécution de code à distance sur les contrôleurs de domaine. Un attaquant non authentifié pourrait l’exploiter pour prendre le contrôle total d’un domaine, avec le potentiel d’une propagation de type ver informatique sur le réseau d’entreprise.
La seconde faille majeure est CVE-2026-41096, qui cible le client DNS de Windows. Elle permet également une exécution de code à distance sans authentification ni interaction utilisateur, via une réponse DNS malveillante. Le client DNS est actif sur la quasi-totalité des machines Windows.
Un point de vigilance pour Microsoft Word
Des vulnérabilités affectant Microsoft Word sont par ailleurs préoccupantes. Quatre sont critiques et de type exécution de code à distance. Pour CVE-2026-40361 et CVE-2026-40364, elles sont plus susceptibles d’être exploitées par des cybercriminels.
Le cas échéant, la cible n’a pas besoin d’ouvrir le document piégé pour déclencher l’exploitation. L’affichage d’un document malveillant dans le volet de prévisualisation est suffisant.