À l’occasion de son Patch Tuesday de mai 2026, Microsoft a corrigé une faille importante de type zero-click affectant Outlook : CVE-2026-40361. Cette vulnérabilité est à prendre au sérieux puisqu’elle permet l’exécution de code sur Windows sans la moindre interaction de l’utilisateur.

Une menace silencieuse au cœur d’Outlook

Parmi la centaine de vulnérabilités corrigées par Microsoft à l’occasion de son dernier Patch Tuesday, il y a 20 failles de sécurité critiques. Parmi elles, la CVE-2026-40361 présente dans Outlook.

Découverte et signalée par Haifei Li, cette faiblesse dans le client de messagerie Outlook peut mener à une exécution de code à distance sur Windows. Le problème se situe au niveau d’une DLL () massivement utilisée par Outlook, mais aussi par Word. Voici les caractéristiques essentielles de cette faille :

• Type de faille : il s’agit d’un bug “use-after-free” de type zéro clic.
• Vecteur d’attaque : l’exploitation mène à l’exécution de code à distance directement sur le poste de l’utilisateur.
• Déclenchement : c’est là où c’est particulièrement dangereux, puisque la simple réception ou prévisualisation du message suffit. L’attaque est invisible et immédiate.

Sur X, le chercheur en sécurité Haifei Li alerte : “Vous devez absolument corriger cela le plus tôt possible.” – “Le danger de ces bugs 0-click dans Outlook est qu’ils se déclenchent dès que la victime lit ou prévisualise l’e-mail — aucun clic sur des liens ou des pièces jointes n’est requis.”, peut-on lire également.

La CVE-2026-40361 affecte les versions suivantes de Microsoft Office :

• Office 2016,
• Office 2019,
• Office 2021 LTSC,
• Office 2024 LTSC,
• Microsoft 365 Apps for Enterprise.

Les dernières mises à jour de sécurité pour Microsoft Office permettent de patcher cette faille de sécurité. Bien que plus supportée depuis octobre 2025, la suite Microsoft Office 2016 à le droit à un correctif pour Word.

D’ailleurs, ce qui est étonnant, c’est que Microsoft associe la faille à Word, tandis que le chercheur l’associe à Outlook. “J’ai démontré ce bug au MSRC en montrant qu’il se produit dans un environnement réel et opérationnel Outlook + Exchange Server. Je parierais que, comme le bug réside dans wwlib.dll — une DLL partagée largement utilisée à la fois par Outlook et Word —, il affecte probablement à la fois Outlook (via un e-mail) et Word (via un fichier document).”, explique le chercheur.

Une référence à BadWinmail, une ancienne vulnérabilité

Haifei Li compare la CVE-2026-40361 à une autre vulnérabilité Outlook qu’il avait lui-même découverte il y a plus d’une décennie : la faille BadWinmail (CVE-2015-6172). À l’époque, cette vulnérabilité avait fait des dégâts… Espérons que ce soit moins destructeur avec la CVE-2026-40361.

À ce jour, il est à noter qu’elle n’est pas exploitée. Mais, la situation pourrait rapidement évoluer. L’application des derniers correctifs de sécurité est recommandée. Ce n’est sûrement pas un hasard si Microsoft a attribué à cette vulnérabilité la mention “exploitation plus probable“.

Au-delà du correctif, les moyens de défense sont limités. Le chercheur explique : “Étant donné que les bugs résident dans le moteur de rendu des e-mails d’Outlook, il est difficile de les atténuer ou de les bloquer (bien que configurer spécifiquement Outlook pour rendre les e-mails uniquement en format texte brut soit une atténuation valide).”