Pas d’exploitations avérées ce mois-ci, mais un Patch Tuesday bien chargé pour Microsoft. L’éditeur corrige plus d’une centaine de vulnérabilités, dont plusieurs failles critiques touchant Office, SharePoint et des composants clés de Windows.
Une fois n’est pas coutume, aucune faille zero-day à signaler. Malgré tout, vous auriez tort de repousser l’installation du Patch Tuesday de mai 2026. Microsoft vient en effet de confirmer la correction de 137 vulnérabilités dans plusieurs composants de son écosystème logiciel, parmi lesquelles 17 failles considérées comme critiques par la firme. Office, SharePoint, Windows GDI ou encore le client DNS de Windows 11 font partie des points chauds de cette nouvelle fournée mensuelle.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Des failles d’exécution de code à distance à la pelle
Dans le détail, Office concentre une bonne partie des vulnérabilités critiques de ce Patch Tuesday, Microsoft indiquant avoir corrigé de nombreuses failles dans Word et Excel susceptibles de permettre l’exécution de code à distance après traitement d’un fichier malveillant. Plusieurs d’entre elles peuvent par ailleurs être exploitées via le volet de prévisualisation, ce qui signifie qu’il n’est pas toujours nécessaire d’ouvrir un document piégé pour déclencher le scénario d’attaque.
Microsoft corrige également CVE-2026-35421, une faille d’exécution de code à distance dans Windows GDI, exploitable au moyen d’un fichier EMF malveillant ouvert dans Paint. Le vecteur est moins courant qu’un document Office piégé, mais il concerne un composant graphique historique de Windows, encore capable de transformer un format ancien en vrai problème de sécurité.
Côté serveurs, CVE-2026-40365 touche SharePoint et peut permettre l’exécution de code à distance sur une instance vulnérable. L’exploitation nécessite un compte authentifié, ce qui réduit le risque d’attaque opportuniste, sans rendre le correctif secondaire pour les organisations qui s’appuient sur la plateforme collaborative de Microsoft.
Dernier point notable, CVE-2026-41096 concerne le client DNS de Windows. Un serveur DNS contrôlé par un attaquant peut envoyer une réponse spécialement conçue à une machine vulnérable, provoquer une corruption mémoire et ouvrir la voie à l’exécution de code à distance.
Un bulletin sans zero-day, mais pas sans urgence
Le reste du bulletin nuance l’idée d’un mois calme. Outre les 17 failles critiques recensées, Microsoft corrige surtout de nombreuses vulnérabilités d’élévation de privilèges et d’exécution de code à distance. Les premières servent souvent à gagner davantage de droits après une compromission initiale, tandis que les secondes peuvent faciliter l’intrusion dans un système lorsqu’elles touchent un service accessible, un composant réseau ou un fichier traité par l’utilisateur ou l’utilisatrice.
Aucune de ces failles n’est présentée comme déjà exploitée, ce qui laisse un peu de latitude aux équipes IT, mais le calendrier joue rarement en faveur des correctifs repoussés. Une fois le bulletin publié, les détails techniques commencent à circuler, les chercheurs comparent les versions corrigées et les versions vulnérables, et les attaquants peuvent chercher à en tirer des scénarios exploitables. À vos mises à jour, donc.
Une RCE (Remote Code Execution) permet à un attaquant de faire exécuter du code sur la machine cible sans avoir un accès local préalable. Dans des logiciels très exposés comme Word, Excel ou des composants Windows, le déclencheur peut être un fichier piégé (document, image, etc.) ou une interaction réseau. Une fois le code exécuté, l’attaquant peut installer un malware, voler des données ou préparer un rebond vers d’autres machines du réseau. Le niveau de gravité dépend aussi des droits du processus touché : si l’exécution se fait avec des privilèges élevés, l’impact est généralement plus important.
Pourquoi le volet de prévisualisation (Preview Pane) peut-il suffire à déclencher une attaque via un document malveillant ?Le volet de prévisualisation affiche le contenu d’un fichier en demandant à l’application de le parser et de le rendre, même sans ouverture « complète ». Si une faille se situe dans le moteur de rendu ou d’analyse (par exemple, le traitement d’un format ou d’un objet intégré), le simple fait de prévisualiser peut déclencher le bug. Cela réduit la friction pour l’attaquant : l’utilisateur peut être compromis en sélectionnant le fichier dans l’explorateur ou dans un client mail, selon les configurations. C’est aussi pour cela que ces failles sont souvent classées plus sévèrement, car elles contournent une partie des réflexes de prudence (ne pas ouvrir la pièce jointe).
Que signifie « élévation de privilèges » et en quoi ces failles sont-elles complémentaires des RCE ?Une élévation de privilèges permet de passer d’un compte ou d’un processus aux droits limités à un niveau de droits supérieur (administrateur ou SYSTEM, typiquement sous Windows). Ces failles ne servent pas toujours à entrer dans la machine, mais à amplifier une compromission déjà amorcée (phishing, malware, accès utilisateur). Combinées à une RCE, elles peuvent transformer une intrusion « utilisateur » en prise de contrôle quasi totale du poste ou du serveur. En entreprise, elles facilitent aussi des mouvements latéraux, car plus de privilèges signifie plus de capacités pour désactiver la sécurité, extraire des secrets ou pivoter vers d’autres ressources.
