Le Patch Tuesday de Mai 2026 révélé par Microsoft permet de corriger 120 failles de sécurité. Il n’y a pas la moindre faille zero-day, ce qui est plutôt une bonne nouvelle. Voici l’essentiel à savoir.

Pour une fois, ce Patch Tuesday ne corrige pas la moindre faille de sécurité zero-day. Pour autant, le nombre de vulnérabilités patchées n’est pas neutre : 120. Parmi elles, 17 vulnérabilités critiques, ce qui n’est pas neutre non plus. Les voici :

• Microsoft 365 Copilot : CVE-2026-26164
• Microsoft Dynamics 365 (on-premise) : CVE-2026-42898
• Microsoft Office : CVE-2026-42831, CVE-2026-40363, CVE-2026-40358
• Microsoft Word : CVE-2026-40361, CVE-2026-40367, CVE-2026-40366, CVE-2026-40364
• Microsoft SharePoint : CVE-2026-40365
• Plugin SSO de Microsoft pour Jira et Confluence : CVE-2026-41103
• Service DNS de Windows : CVE-2026-41096
• Windows GDI : CVE-2026-35421
• Hyper-V : CVE-2026-40402
• Windows – Pilote Wi-Fi Natif Miniport : CVE-2026-32161
• Windows Netlogon : CVE-2026-41089
• Windows Win32K – GRFX : CVE-2026-40403 (découverte en partie à l’aide de Claude)

La liste des failles critiques est rarement aussi fournie. D’ailleurs, certaines méritent une attention particulière, notamment parce qu’elles ouvrent la porte à une exécution de code à distance.

Méfiez-vous des vulnérabilités critiques

• CVE-2026-41096

Cette vulnérabilité affecte le service DNS de Windows et elle permet une exécution de code à distance, via le réseau. Elle est exploitable via l’envoi d’une réponse DNS malveillante, et elle provoque une corruption de la mémoire au sein du client DNS de Windows. Son impact est important : selon la configuration du système cible, un attaquant peut tirer parti de cette vulnérabilité pour exécuter du code à distance (RCE), et ce sans la moindre authentification préalable.

Elle affecte uniquement certaines versions de Windows : Windows 11, Windows Server 2022, Windows Server 2025.

• CVE-2026-41089

Cette faille de sécurité affecte le service Netlogon de Windows et elle permet également une exécution de code à distance. Microsoft explique qu’elle est exploitable via l’envoi d’une requête réseau spécifiquement conçue vers un contrôleur de domaine. Elle profite alors d’une erreur de traitement au sein du service Netlogon.

Son impact : un attaquant peut en tirer parti pour exécuter du code à distance (RCE) sur le serveur compromis, de manière totalement arbitraire et sans être authentifié.

Cette vulnérabilité affecte uniquement Windows Server 2012 à Windows Server 2025, en particulier les contrôleurs de domaine. Exploitable depuis une machine virtuelle invitée, cette faille au sein d’Hyper-V permet de forcer le noyau de l’hôte à lire une adresse mémoire arbitraire.

Bien qu’elle se traduise généralement par un déni de service (plantage de l’hôte Hyper-V), une autre possibilité est offerte via l’exploitation de cette faille. En effet, en ciblant certains registres de périphériques matériels, un attaquant peut s’échapper de son environnement isolé (technique VM escape) et obtenir les privilèges SYSTEM sur le système hôte.

Cette vulnérabilité affecte uniquement Windows Server 2022 et Windows 11 23H2.

• De multiples failles critiques dans Word

Comme je l’ai mentionné précédemment, Microsoft Word est affecté par quatre failles critiques. À chaque fois, le panneau de prévisualisation est considéré comme un vecteur d’exploitation pour ces vulnérabilités permettant une exécution de code à distance.

Bien souvent, l’exploitation de ces vulnérabilités s’effectue via un document piégé. Il est fortement recommandé de mettre à jour le pack Office sur vos machines.

Retrouvez toutes les informations sur le site officiel du MSRC de Microsoft. En complément, voici les articles à propos des mises à jour Windows :

• Windows 10 KB5087544 – La mise à jour de mai 2026
• Windows 11 KB5089549 : découvrez les nouveautés de la mise à jour de mai 2026