Patch Tuesday – Janvier 2026 : 114 vulnérabilités corrigées, dont 3 failles zero-day !
Le Patch Tuesday de janvier 2026 a été publié par Microsoft. Il contient des correctifs pour 114 failles de sécurité, dont 3 failles zero-day. Voici l’essentiel à savoir.
Le premier Patch Tuesday de l’année 2026 corrige donc une petite centaine de vulnérabilités, dont 8 failles de sécurité considérées comme critiques au niveau des composants Windows et de la suite Microsoft Office :
- Windows – Composant graphique : CVE-2026-20822
- Windows – LSASS : CVE-2026-20854
- Windows – VBS (Virtualization-Based Security) : CVE-2026-20876
- Microsoft Office : CVE-2026-20952, CVE-2026-20953
- Microsoft Office – Excel : CVE-2026-20957, CVE-2026-20955
- Microsoft Office – Word : CVE-2026-20944
D’autres vulnérabilités ont été patchées dans Windows et Microsoft Office, mais elles ont une sévérité moindre, à l’exception des failles zero-day que nous évoquerons par la suite. Le reste des vulnérabilités affectent d’autres produits et services de Microsoft. On retrouve notamment ces vulnérabilités :
- WSUS : CVE-2026-20856 – Exécution de code à distance via une attaque de type man-in-the-middle.
- RRAS : CVE-2026-20868 – Exécution de code à distance sur la machine d’un utilisateur.
- SharePoint Server : CVE-2026-20947 – Exécution de code à distance sur le serveur SharePoint (SQL injection), nécessitant les privilèges de membre du site pour être exploitée.
Toutes les vulnérabilités sont listées sur cette page. Parlons maintenant des trois failles zero-day.
Sommaire
Patch Tuesday – Janvier 2026 : 3 failles zero-day
Ce Patch Tuesday corrige 3 failles de sécurité zero-day, dont 1 activement exploitée et les 2 autres seulement divulguées. Présentation ci-dessous.
CVE-2026-20805 – Desktop Window Manager de Windows
Commençons par la faille zero-day activement exploitée située dans le composant Desktop Window Manager de Windows. “L’exposition d’informations sensibles à un acteur non autorisé dans Desktop Windows Manager permet à un attaquant autorisé de divulguer des informations localement.“, précise Microsoft au sujet de la CVE-2026-20805.
En réalité, cette vulnérabilité permet à un attaquant de lire les adresses mémoire associées au port ALPC distant. Microsoft ne donne pas de détails supplémentaires sur l’exploitation réelle de cette vulnérabilité. En tout cas, de par son statut, cette vulnérabilité a été ajoutée au catalogue KEV de la CISA.
Elle affecte Windows 10, Windows 11 et Windows Server 2012 à Windows Server 2025, y compris en mode Core.
CVE-2026-21265 – Secure Boot
Microsoft affirme que les certificats pour le Secure Boot délivrés en 2011 vont expirer dans les prochains mois. Ainsi, les machines qui ne seront pas mises à jour sont exposées : un attaquant peut en tirer profit pour outrepasser le Secure Boot.
Dans le bulletin de sécurité de la CVE-2026-21265, Microsoft donne la liste des certificats en question avec les dates d’expiration (le dernier de la liste n’est pas listé sur la page de la CVE, mais dans la documentation) :
| Autorité de certification | Emplacement | Objectif | Date d’expiration |
|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | KEK | Signature des mises à jour de la DB et de la DBX | 24/06/2026 |
| Microsoft Corporation UEFI CA 2011 | DB | Signature des boot loaders tiers, des options des ROMs, etc. | 27/06/2026 |
| Microsoft Windows Production PCA 2011 | DB | Signature de Windows Boot Manager | 19/10/2026 |
| Microsoft UEFI CA 2011 | DB | Signatures des ROM optionnelles tierces | Juin 2026 |
Une documentation de Microsoft indique les noms des nouveaux certificats :
| Certificats proches de l’expiration | Nouveaux certificats |
| Microsoft Corporation KEK CA 2011 | Microsoft Corporation KEK 2K CA 2023 |
| Microsoft Windows Production PCA 2011 | Windows UEFI CA 2023 |
| Microsoft UEFI CA 2011 | Microsoft UEFI CA 2023 |
| Microsoft UEFI CA 2011 | Microsoft Option ROM UEFI CA 2023 |
Les mises à jour pour Windows sont justement là pour faire le nécessaire, à savoir renouveler les certificats pour préserver la chaine de confiance liée au Secure Boot de Windows.
CVE-2023-31096 – Windows : Pilote Agere Modem
En réalité, la vulnérabilité CVE-2023-31096 n’est pas nouvelle puisqu’elle a été documentée en 2023 par le MITRE. Cela fait aussi écho à deux vulnérabilités patchées en octobre 2025 (CVE-2025-24990 et CVE-2025-24052) et liées à un pilote tiers pour le modem Agere qui permettent d’élever ses privilèges sur Windows.
La mise à jour d’octobre supprimait le fichier correspondant au modem Agere. Cette fois-ci, Microsoft affirme que la mise à jour de janvier 2026 supprime deux autres pilotes présents nativement dans Windows, toujours pour le fonctionnement de ce modem : et .
“Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait obtenir des privilèges SYSTÈME.“, précise Microsoft.
Windows 10, Windows 11 et Windows Server 2008 à Windows Server 2025 sont affectés par cette vulnérabilité, même si la machine n’utilise pas directement l’appareil Agere en question.
Des articles sur les mises à jour dédiées de Windows seront publiés dans la journée :
- Windows 10 – KB5073724
- Windows 11 – à venir
- Windows Server – à venir