Windows, Office et plusieurs services Microsoft reçoivent leur lot de correctifs pour le mois de mars. Cette fournée inclut notamment deux failles déjà connues, ainsi qu’une longue série de vulnérabilités touchant des composants clés du système.
C’est jour de Patch Tuesday chez Microsoft. L’éditeur déploie sa mise à jour de sécurité mensuelle pour Windows 11, Office et plusieurs services associés, destinée à corriger un total respectable de 83 vulnérabilités. Dans le lot figurent deux failles zero-day déjà rendues publiques avant la diffusion du patch. Aucune exploitation active n’est connue pour le moment, mais leur divulgation préalable doit vous inciter à faire un tour dans Windows Update sans tarder.
Des failles prioritaires dans SQL Server, .NET et Microsoft Office
Dans le détail, la première vulnérabilité zero-day concerne SQL Server. Identifiée sous la référence CVE-2026-21262 (CVSS 8,8), cette faille permet à un attaquant déjà authentifié d’élever ses privilèges sur un serveur SQL accessible via le réseau. Le problème provient d’un contrôle d’accès insuffisant dans certaines procédures stockées, des blocs de requêtes SQL enregistrés directement dans la base de données afin d’automatiser certaines opérations. Dans certaines configurations, ces procédures peuvent s’exécuter avec des droits plus élevés que ceux de l’utilisateur qui les appelle. Un tel détournement pourrait permettre d’obtenir des privilèges SQLAdmin, l’un des niveaux d’administration les plus élevés dans SQL Server.
La seconde touche la plateforme .NET. Répertoriée sous CVE-2026-26127 (CVSS 7,5), cette vulnérabilité peut être exploitée pour provoquer un déni de service à distance. Elle repose sur une lecture hors limites dans le traitement de certaines données, une erreur qui survient lorsqu’un programme tente d’accéder à une zone de mémoire en dehors de celle qui lui est normalement attribuée. Dans ce cas précis, un attaquant, non authentifié cette fois, pourrait envoyer une requête spécialement conçue à une application .NET exposée sur le réseau afin d’en provoquer le plantage et d’interrompre son fonctionnement.
Parmi les autres correctifs jugés prioritaires, Redmond s’attaque aussi à plusieurs vulnérabilités dans Microsoft Office. Deux failles d’exécution de code à distance, CVE-2026-26110 et CVE-2026-26113 (CVSS 8,4), peuvent être exploitées via le volet de prévisualisation. L’ouverture complète du document n’est donc pas nécessaire, l’affichage dans l’aperçu pouvant suffire à déclencher l’attaque.
En parallèle, Excel fait aussi l’objet d’un patch ciblé pour la vulnérabilité CVE-2026-26144 (CVSS 7,5), qui pourrait permettre à un tiers malveillant de provoquer une fuite de données en exploitant des interactions avec le mode agent de Copilot, susceptible dans certains cas d’envoyer des informations vers l’extérieur sans action directe de l’utilisateur.
Un Patch Tuesday bien garni pour Windows
Au total, le Patch Tuesday de mars corrige 83 vulnérabilités dans l’écosystème Microsoft. Comme souvent, la catégorie la plus représentée concerne les élévations de privilèges, auxquelles s'ajoutent plusieurs failles d’exécution de code à distance, de divulgation d’informations, de déni de service, d’usurpation d’identité ou encore de contournement de protections de sécurité.
La majorité d’entre elles affectent des composants essentiels de Windows, régulièrement concernés par ce type de vulnérabilités, parmi lesquels SMB Server, Win32k, RRAS ou encore Print Spooler, ainsi que plusieurs pilotes et services système. Plusieurs failles touchent également des services liés à Azure et à l’infrastructure cloud de Microsoft.
Bref, un Patch Tuesday plutôt copieux, qui devrait convaincre les plus procrastinateurs de faire un détour par Windows Update.
Source : Microsoft
