Microsoft publie un Patch Tuesday hors norme avec plus de 600 vulnérabilités corrigées, dont trois zero-days. Deux d’entre elles ont déjà été exploitées dans des attaques visant des infrastructures d’entreprise.

Microsoft signe le plus gros Patch Tuesday de son histoire et corrige 622 failles. © dennizn / Shutterstock
Microsoft signe le plus gros Patch Tuesday de son histoire et corrige 622 failles. © dennizn / Shutterstock

Jamais Microsoft n’avait livré de Patch Tuesday aussi chargé. La mise à jour de juillet 2026 corrige en effet 622 failles réparties entre Windows, Office, SharePoint, Edge et plusieurs autres produits du groupe. Un chiffre qui donne le vertige, mais pas tout à fait une surprise. Quelques jours plus tôt, Microsoft avait prévenu que ses outils de détection assistés par l’intelligence artificielle feraient remonter davantage de vulnérabilités dans ses produits et services.

Trois zero-days, dont deux déjà exploitées dans des attaques

Parmi les failles corrigées ce mois-ci, trois sont considérées comme des zero-days. Deux d’entre elles ont déjà été utilisées dans des attaques.

La première, CVE-2026-56155, touche Active Directory Federation Services, le service de Microsoft qui centralise l’authentification et permet d’accéder à plusieurs applications avec un même compte. Un attaquant déjà authentifié sur le serveur peut profiter de contrôles d’accès trop permissifs pour obtenir des droits plus élevés et accéder à des fonctions réservées à l’administration. Microsoft confirme son exploitation, sans donner de détails sur les attaques observées.

Également exploitée, CVE-2026-56164 concerne SharePoint Server. Elle permet à un attaquant distant et non authentifié de contourner la protection d’une fonction sensible. Il peut alors effectuer des actions normalement réservées à un compte plus privilégié, avec à la clé un accès élargi aux données et aux réglages du serveur, voire un point d’appui pour poursuivre son attaque dans le réseau de l’entreprise.

La troisième zero-day, CVE-2026-50661, permet de contourner BitLocker et d’accéder aux données chiffrées d’un ordinateur, à condition d’avoir un accès physique à la machine. Elle avait déjà été divulguée publiquement, mais Microsoft ne signale aucune exploitation active pour le moment.

Un Patch Tuesday d’une ampleur inédite

Les 622 failles ne concernent pas seulement Windows, même si le système en concentre 416 à lui seul, contre 82 pour Office, 46 pour Edge, 27 pour les outils de développement et 17 pour SharePoint Server. Les élévations de privilèges et les exécutions de code à distance forment les plus gros contingents, aux côtés de nombreuses fuites d’informations, dénis de service et protections contournées.

Ce record résulte en partie d’un changement de méthode annoncé début juillet par Pavan Davuluri, le patron de Windows. Microsoft a donné un coup d’accélérateur à la recherche de vulnérabilités avec MDASH, un outil qui fait travailler plusieurs modèles d’intelligence artificielle sur le code de Windows. Certains repèrent les anomalies, d’autres confrontent les résultats et tentent de vérifier si les failles détectées peuvent réellement être exploitées. Et forcément, qui dit automatisation dit examen plus large et plus rapide des composants, donc davantage de vulnérabilités découvertes.

Windows 11
À découvrir
Windows 11
Téléchargement