Mardi 10 mars 2026, Microsoft a levé le voile sur son nouveau Patch Tuesday et ce dernier corrige 84 vulnérabilités, dont 2 failles zero-day déjà divulguées. Voici l’essentiel à savoir.

Le Patch Tuesday de mars 2026 référence des failles de sécurité qui affectent de multiples services et produits de l’écosystème Microsoft : Windows et ses différents composants, la suite Office, le navigateur Edge, le Cloud Azure, le rôle Hyper-V, ou encore des composants plus spécifiques comme le système de fichiers ReFS. Si on ajoute à cela les mises à jour patchées aussi sur des services tiers (comme GitHub qui appartient à Microsoft) et celles propres à Chromium à destination du navigateur Edge, le compteur grimpe à un total de 94 failles de sécurité corrigées.

Il est à noter que 8 vulnérabilités sont classées comme “critiques” et aucune de ces nouvelles failles n’est actuellement exploitée dans la nature. Parmi les failles critiques, il y a notamment celles-ci qui ont un impact potentiel sur les postes de travail :

• Microsoft Excel : CVE-2026-26144
• Microsoft Office : CVE-2026-26110, CVE-2026-26113

Ce Patch Tuesday contient de nombreuses vulnérabilités importantes, comme la CVE-2026-25177 découverte dans l’Active Directory. Elle permet à un attaquant d’élever ses privilèges en tant que SYSTEM, à cause d’une mauvaise gestion des caractères unicodes dans les SPN et les UPN. La CVE-2026-25170 quant à elle, affecte Hyper-V, et elle permet à un attaquant local d’élever ses privilèges en tant que SYSTEM.

Dans la suite de cet article, nous allons nous intéresser aux deux failles de sécurité zero-day. Elles ont déjà fait l’objet d’une divulgation avant la sortie des patchs de sécurité Microsoft.

CVE-2026-21262 – SQL Server

La première faille de sécurité zero-day, associée à la référence CVE-2026-21262 et considérée comme importante, affecte SQL Server. En exploitant cette faille, un attaquant peut élever ses privilèges en tant que SQLAdmin.

“Un contrôle d’accès inadéquat dans SQL Server permet à un attaquant autorisé d’élever ses privilèges sur un réseau.”, précise Microsoft.

Voici les versions de SQL Server affectées par cette faille de sécurité :

• SQL Server 2025
• SQL Server 2022
• SQL Server 2019
• SQL Server 2017
• SQL Server 2016

Microsoft a publié de nouvelles mises à jour cumulatives pour patcher cette vulnérabilité. Par exemple, la KB5077466 s’adresse à SQL Server 2025.

CVE-2026-26127 – .NET

La seconde faille de sécurité zero-day, associée à la référence CVE-2026-26127, affecte le framework .NET. Elle peut mener à un déni de service sur la machine cible, comme l’explique Microsoft.

“Une lecture hors limites dans .NET permet à un attaquant non autorisé de provoquer un déni de service sur un réseau.”, précise le bulletin de sécurité.

La firme de Redmond précise que cette vulnérabilité affecte les produits suivants :

• .NET 10.0 sur Windows, macOS et Linux
• .NET 9.0 sur Windows, macOS et Linux
• Microsoft.Bcl.Memory 10.0
• Microsoft.Bcl.Memory 9.0

Voilà pour ce qui est de ce nouveau Patch Tuesday.

Pour approfondir le sujet, voici les articles dédiés aux nouvelles mises à jour Windows :

• Windows 10 KB5078885 : le point sur la mise à jour ESU de mars 2026
• Windows 11 KB5079473 et KB5078883 : découvrez les nouveautés des mises à jour de mars 2026