Pour son premier Patch Tuesday de 2026, Microsoft sort l’artillerie lourde. 114 vulnérabilités ont été corrigées, parmi lesquelles trois zero-days, dont une exploitée dans des attaques et deux autres déjà divulguées.
Microsoft démarre l’année en trombe, avec une salve de correctifs obligatoires qui brasse large. Le Patch Tuesday de janvier 2026 corrige 114 vulnérabilités dans Windows 11 et ses principaux composants, dont trois zero-days. L’une d’elles était activement exploitée, tandis que les deux autres étaient déjà connues publiquement. Un ensemble conséquent qui justifie à lui seul un déploiement rapide.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Desktop Window Manager, Secure Boot, pilotes Agere, le trio à surveiller
La vulnérabilité la plus urgente, CVE-2026-20805, touche Desktop Window Manager, le composant responsable de l’agencement graphique de l’interface Windows, et correspond à une divulgation d’informations activement exploitée. Elle nécessite un accès local et suppose donc qu’un attaquant ait déjà mis la main sur la machine, via un compte compromis ou l’exécution de code malveillant. Les données exposées portent sur des informations internes au système, comme des éléments issus de la mémoire des processus, normalement inaccessibles, et peuvent être utilisées pour contourner certaines protections puis enchaîner sur des actions plus intrusives, par exemple une élévation de privilèges ou l’exploitation d’une autre vulnérabilité.
CVE-2026-21265 concerne Secure Boot et l’expiration progressive de certificats émis en 2011, avec des échéances prévues courant 2026. Le risque associé ne tient pas à une attaque immédiate, mais à la fragilisation du processus de vérification du démarrage sur des systèmes qui ne recevraient pas les mises à jour nécessaires. Les correctifs de janvier renouvellent les certificats et mettent à jour les éléments de confiance utilisés par Secure Boot pour valider les composants au démarrage. Microsoft traite ainsi un sujet déjà documenté publiquement, dont l’impact dépendra essentiellement du niveau de mise à jour et de la gestion des certificats sur les machines concernées.
La troisième zero-day, CVE-2023-31096, vise des pilotes tiers Agere Soft Modem livrés avec Windows. La vulnérabilité permet une élévation de privilèges et peut être exploitée après un accès initial afin d’obtenir des droits administrateur. Microsoft confirme la suppression des pilotes concernés, agrsm64.sys et agrsm.sys, alors que le Patch Tuesday d’octobre visait déjà à réduire le risque lié à ces drivers.
Un Patch Tuesday dominé par les élévations de privilèges
Outre ces trois zero-days, Microsoft corrige 111 autres vulnérabilités, dont huit classées critiques. Les élévations de privilèges dominent largement, un profil typique de chaînes d’attaque où l’accès initial sert surtout de tremplin vers des droits plus élevés. Le reste du correctif couvre des exécutions de code à distance, des divulgations d’informations, des contournements de fonctions de sécurité, des dénis de service et des usurpations.
Plusieurs correctifs critiques concernent Microsoft Office, dont Word et Excel, sur des vulnérabilités d’exécution de code à distance. Côté Windows, une vulnérabilité critique touche LSASS, composant central de l’authentification. SharePoint reçoit aussi plusieurs correctifs, notamment sur l’exécution de code à distance, la divulgation d’informations et l’usurpation, ce qui concerne directement les serveurs exposés et les instances accessibles depuis l’extérieur.
Sur la partie système, la mise à jour couvre large, avec des correctifs qui touchent le noyau, Win32K, des pilotes en mode kernel, NTFS, SMB Server, Kerberos, Hyper-V ou encore des services de gestion et de déploiement. Pris individuellement, ces correctifs visent des scénarios variés, mais l’ensemble converge vers un même objectif, réduire les possibilités d’escalade et limiter les surfaces d’attaque associées aux services et aux couches basses du système.
À noter que ce décompte correspond aux correctifs publiés par Microsoft dans le cadre du Patch Tuesday lui-même. Les vulnérabilités corrigées dans Microsoft Edge et certaines mises à jour Mariner publiées plus tôt dans le mois ne sont pas incluses dans ce total.
Source : Microsoft
