Bureau
Contenu
Microsoft corrige 120 vulnérabilités dans la mise à jour de mai 2026
Points clés du package de sécurité de mai
Complexité des correctifs en entreprise
Comparaison avec les cycles de patchs récents
Analyse des vulnérabilités de mai 2026
Pas de Zero-Days en mai : Une rareté
Vulnérabilités dans Office : Un problème persistant
Risques au niveau de l'infrastructure
Préoccupations autour de SharePoint et Hyper-V
Impacts opérationnels de la mise à jour de mai 2026
Microsoft : Patch Tuesday de mai 2026 corrige 120 failles, aucun Zero-Day
Temps: May, 13, 2026

Microsoft corrige 120 vulnérabilités dans la mise à jour de mai 2026

Le 12 mai, Microsoft a publié des correctifs pour 120 vulnérabilités, notamment sans divulguer de zéro-day. Cependant, les défenseurs des entreprises doivent toujours faire face à un large éventail de risques, notamment ceux affectant la gestion des documents, l'infrastructure d'identité, les plateformes de collaboration, les environnements de virtualisation et le réseau standard de Windows.

Points clés du package de sécurité de mai

La mise à jour du Patch Tuesday de mai 2026 a inclus 17 vulnérabilités critiques, dont 14 étaient des failles d'exécution de code à distance (RCE). Les organisations doivent agir rapidement pour évaluer et déployer ces mises à jour sur leurs systèmes. Les responsables des correctifs font face à un défi critique : déterminer quels systèmes métiers peuvent accueillir les premières vagues de mises à jour sans provoquer de pannes ailleurs.

Complexité des correctifs en entreprise

Les équipes chargées des correctifs en entreprise sont confrontées à un "problème d'ordre des correctifs" complexe, car les mises à jour de ce mois couvrent divers systèmes, notamment :

  • Points de terminaison Office
  • Contrôleurs de domaine
  • Systèmes Windows dépendant de DNS
  • Déploiements SharePoint
  • Hôtes Hyper-V

Chacun de ces systèmes est souvent géré par des équipes différentes, avec des calendriers de correctifs distincts, des procédures de retour en arrière et des fenêtres de maintenance spécifiques. Même lorsqu'une seule publication de Microsoft couvre tous ces domaines, la coordination des mises à jour reste un défi opérationnel.

Comparaison avec les cycles de correctifs récents

Au cours des mois précédents :

  • En février, six zéro-days actifs ont été traités.
  • En avril, 167 vulnérabilités, dont deux zéro-days, ont été corrigées.

Bien que mai 2026 ne comporte pas de zéro-day divulgué, cela ne réduit pas la charge de travail des défenseurs. Chaque mise à jour récente a nécessité des compromis entre la vitesse de déploiement d'urgence, le risque de panne et le temps de vérification pour les systèmes critiques, ajoutant à la charge cumulative de priorisation.

Répartition des vulnérabilités en mai 2026

La publication de mai par Microsoft a inclus les éléments suivants :

  • 31 vulnérabilités d'exécution de code à distance
  • 61 problèmes d'élévation de privilèges (EoP)
  • 14 failles de divulgation d'informations
  • 8 vulnérabilités de déni de service (DoS)
  • 6 problèmes de contournement des fonctionnalités de sécurité
  • 13 vulnérabilités de falsification

Parmi celles-ci, les failles RCE restent une priorité car elles permettent aux attaquants d'exécuter du code arbitraire, tandis que les vulnérabilités EoP ajoutent de la complexité opérationnelle en affectant les permissions, les limites administratives et les transitions utilisateur-système. Les équipes de sécurité doivent valider et traiter ces vulnérabilités avant de passer des tests pilotes au déploiement à grande échelle.

Aucun zéro-day en mai : une rareté

Mai 2026 marque la première mise à jour mensuelle de sécurité de Microsoft en près de deux ans sans aucune vulnérabilité zéro-day exploitée ou divulguée publiquement. Au cours des 22 derniers mois, Microsoft a enregistré en moyenne 3,5 zéro-days par mois, rendant ce mois-ci plus calme mais pas nécessairement moins exigeant en termes d'efforts de remédiation.

Vulnérabilités Office : une préoccupation persistante

Malgré l'absence de zéro-days, les vulnérabilités liées à Office restent une préoccupation majeure. Microsoft a corrigé des failles dans Office, Word et Excel qui pourraient conduire à des RCE, certaines étant liées à des risques liés au volet d'aperçu. Étant donné que les employés prévisualisent fréquemment des documents tels que des factures, des CV et des fichiers partagés, ces vulnérabilités nécessitent un effort de correctif plus large au-delà des mises à jour des applications individuelles.

De plus, la mise à jour de mai inclut CVE-2026-35421, une vulnérabilité dans Paint où l'ouverture d'un métafile amélioré malveillant pourrait permettre l'exécution de code. Les équipes de points de terminaison doivent également prioriser des correctifs comme CVE-2026-40367, CVE-2026-40366 et CVE-2026-40364, affectant les ordinateurs portables, les stations de travail partagées et les bureaux virtuels.

Risques au niveau de l'infrastructure

Plusieurs vulnérabilités dans la mise à jour de mai posent des risques importants pour l'infrastructure des entreprises :

  • CVE-2026-41096 : Une vulnérabilité de dépassement de tampon basé sur le tas dans le client DNS de Windows avec un score CVSS de 9,8. Cette faille RCE peut être exploitée à distance sans authentification ni interaction de l'utilisateur, impactant une large gamme de systèmes Windows.
  • CVE-2026-41089 : Un problème critique dans Windows Netlogon avec un score CVSS de 9,8, permettant à des attaquants non authentifiés d'exécuter du code à distance sur des contrôleurs de domaine. Étant donné le potentiel de défaillances d'authentification, la correction des contrôleurs de domaine nécessite une prudence supplémentaire pour éviter d'interrompre l'accès aux services critiques pour l'entreprise.

Préoccupations concernant SharePoint et Hyper-V

Les vulnérabilités de SharePoint restent une préoccupation pour les équipes de sécurité des entreprises. CVE-2026-40365 expose les serveurs SharePoint à des attaques RCE, bien que nécessitant des privilèges de propriétaire de site. Bien que cela réduise le nombre d'attaquants potentiels, les défenseurs doivent évaluer l'exposition des utilisateurs privilégiés, la publication externe et l'étendue de la collaboration pour atténuer les risques.

Dans les environnements virtualisés, CVE-2026-40402 dans Hyper-V introduit un risque sévère, permettant aux attaquants de passer d'une machine virtuelle invitée à l'environnement hôte et d'obtenir des privilèges SYSTEM. Ce type d'échec de frontière impacte simultanément plusieurs charges de travail, nécessitant une attention immédiate des équipes de virtualisation.

Impacts opérationnels de la mise à jour de mai 2026

La mise à jour de mai pousse les équipes gérant les points de terminaison Office, les systèmes Windows liés au DNS, les contrôleurs de domaine, les serveurs SharePoint et les hôtes Hyper-V vers une fenêtre de maintenance unifiée. Malgré l'absence de zéro-days, l'ampleur et la complexité des vulnérabilités de ce mois rendent leur traitement exigeant sur le plan opérationnel pour les entreprises.

Chat en direct
0