Le programme du Patch Tuesday de juin 2026 publié par Microsoft est très chargé : 200 failles de sécurité ont été corrigées dans l’ensemble des produits et services de Microsoft. Parmi elles, 3 failles de sécurité zero-day déjà divulguées. Voici l’essentiel à savoir.

Comme chez bien d’autres éditeurs, une tendance se dégage chez Microsoft : l’utilisation de l’IA pour découvrir des failles de sécurité. Les équipes de la firme de Redmond s’appuient d’ailleurs sur le système multi-agents nommé MDASH pour effectuer ces recherches. Résultat, le Patch Tuesday publié le mardi 9 juin 2026 contient beaucoup de failles de sécurité : 200 au total, dont 33 failles de sécurité critiques. C’est beaucoup. Je dirais même que c’est plus que d’habitude.

Voici pour commencer la liste des failles de sécurité critiques :

• Services de domaine Active Directory (AD DS) : CVE-2026-45648
• Windows – Kerberos : CVE-2026-47288
• Client Bureau à distance : CVE-2026-42985, CVE-2026-47289, CVE-2026-47654, CVE-2026-42992, CVE-2026-44801, CVE-2026-44799, CVE-2026-48563
• Hyper-V : CVE-2026-45641, CVE-2026-47652, CVE-2026-45607
• Windows – Services Cryptographiques : CVE-2026-44810, CVE-2026-42987
• Windows – Client DHCP : CVE-2026-44815
• Windows – HTTP.sys : CVE-2026-47291
• Windows Media : CVE-2026-48574
• Windows Win32K – GRFX : CVE-2026-44812, CVE-2026-44803
• Noyau Windows : CVE-2025-10263, CVE-2026-45657
• Microsoft Azure Attestation : CVE-2026-33828
• Microsoft Azure Kubernetes Service : CVE-2026-32193
• Microsoft Office : CVE-2026-45463, CVE-2026-45474, CVE-2026-45472, CVE-2026-45458, CVE-2026-45460, CVE-2026-47635, CVE-2026-45456, CVE-2026-45461
• Linux – Pilote MANA : CVE-2026-45476
• Nuance PowerScribe : CVE-2026-26142

Outch, cela fait vraiment beaucoup de failles de sécurité critiques. Ce qui me surprend le plus, c’est la découverte de 11 failles de sécurité, dont 7 critiques, rien que dans le client Bureau à distance de Windows ! Pour plusieurs de ces vulnérabilités, il est question d’une exécution de code à distance : si un utilisateur se connecte en RDP sur un serveur contrôlé par un attaquant, cela permettrait à l’attaquant d’exécuter du code à distance sur la machine de l’utilisateur.

Les failles zero-day de juin 2026

Prenons le temps de nous intéresser aux trois failles zero-day patchées par Microsoft. Il s’agit de vulnérabilités déjà divulguées mais pas encore exploitées. Comme nous le verrons, ce sont des failles qui ont déjà fait parler d’elles ces dernières semaines….

CVE-2026-45586 alias GreenPlasma

La première faille zero-day est la CVE-2026-45586, une faille permettant une élévation de privilèges sur Windows via CTFMON. Lorsqu’un attaquant exploite cette vulnérabilité, il peut obtenir les privilèges SYSTEM.

Microsoft explique : “Une résolution de lien incorrecte avant l’accès au fichier dans Windows Collaborative Translation Framework permet à un attaquant autorisé d’élever localement ses privilèges,”.

Ce patch de sécurité corrige en réalité la vulnérabilité GreenPlasma, divulguée récemment par le chercheur Nightmare Eclipse. Pour autant, Microsoft ne l’a pas crédité puisqu’il est précisé qu’elle a été signalée par un chercheur anonyme. Il faut dire que ça chauffe en ce moment entre les deux parties et Microsoft a été jusqu’à supprimer le compte GitHub de Nightmare Eclipse (mais il est de retour, je vais en parler dans un autre article).

CVE-2026-50507 alias YellowKey

La deuxième faille zero-day est la CVE-2026-50507 et elle va m’amener à vous parler une fois de plus de Nightmare Eclipse. En effet, ce patch de sécurité correspond à la faille YellowKey qu’il a découverte dans BitLocker. Elle permet de contourner BitLocker sur les machines Windows et donc d’accéder aux données normalement protégées par le chiffrement.

Selon Microsoft : “Une défaillance du mécanisme de protection dans Windows BitLocker permet à un attaquant non autorisé de contourner une fonctionnalité de sécurité via une attaque physique,”. En effet, l’accès physique est indispensable pour exploiter cette vulnérabilité, notamment en utilisant un support comme une clé USB.

Le problème affecte les systèmes où BitLocker est activé et configuré pour utiliser uniquement la protection TPM pour déverrouiller le lecteur chiffré. Microsoft avait partagé des solutions de remédiations temporaires, évoquées dans cet article. Cela consiste notamment à jouer sur les modes de déverrouillage en ajoutant un code PIN en plus du TPM.

CVE-2026-49160 alias HTTP/2 Bomb

La troisième faille zero-day est la CVE-2026-49160, surnommée HTTP/2 Bomb, est elle aussi déjà connue. Elle permet de provoquer un déni de service sur les serveurs Web, que ce soit Apache2, Nginx ou encore IIS, en moins d’une minute. Pour rappel, cette vulnérabilité a été découverte par Quang Luong de chez Calif à l’aide de l’IA Codex.

De ce fait, Windows est aussi impacté et Microsoft a été contraint d’intégrer un patch à HTTP.sys via ces nouvelles mises à jour. L’installation seule de ce nouveau patch est suffisante pour vous protéger de cette vulnérabilité.

En complément, Microsoft a introduit une nouvelle clé de registre : “Microsoft a également introduit un nouveau paramètre de registre MaxHeadersCount. Ce paramètre vous permet de limiter le nombre d’en-têtes inclus dans les requêtes HTTP/2 et HTTP/3 acceptées par le serveur HTTP. Pour plus d’informations, voir KB5102602“.