Analyse Patch Tuesday Juin 2026

Satnam Narang, Senior Staff Research Engineer chez Tenable partage son analyse sur la mise à jour du Patch Tuesday de Microsoft de ce mois-ci. Il revient sur une publication record, avec près de 200 vulnérabilités corrigées, dont plusieurs zero-days divulguées publiquement, et analyse l’impact de l’IA sur la découverte de vulnérabilités comme sur le développement d’exploits.

198 vulnérabilités corrigées

Microsoft a frôlé la barre des 200 CVE ce mois-ci, en corrigeant 198 vulnérabilités, un record qui dépasse le précédent établi en octobre 2025 avec 167 CVE corrigées. Le mois dernier, Microsoft a publié un billet de blog soulignant l’augmentation du volume de signalements de vulnérabilités au fil des années et indiquant que ses ingénieurs comme la communauté de la cybersécurité utilisent de plus en plus l’IA pour identifier des failles.

Certaines études estiment que 90 % des professionnels de la cybersécurité ont recours à l’IA, ce qui rend peu surprenant que ce volume de correctifs devienne la norme. La boîte de Pandore est désormais ouverte et, à mesure que des modèles d’IA plus avancés seront disponibles, nous nous attendons à ce que cette tendance se poursuive dans l’ensemble du secteur, et pas uniquement lors des Patch Tuesday.

Trois vulnérabilités Zero Day

La publication de ce mois comprend des correctifs pour trois vulnérabilités zero-day divulguées publiquement.

Parmi elles figurent CVE-2026-45586, une vulnérabilité d’élévation de privilèges affectant le service Windows Collaborative Translation Framework Monitor (CTFMON), chargé de la gestion des méthodes de saisie de texte alternatives ; CVE-2026-50507, un contournement de BitLocker baptisé Bitskrieg ; ainsi que CVE-2026-49160, surnommée HTTP2/Bomb, une vulnérabilité de déni de service touchant la plupart des principaux serveurs web, y compris Microsoft Internet Information Services (IIS) via HTTP.sys. Cette dernière a été attribuée à une découverte réalisée avec Codex d’OpenAI. À noter également l’absence de correctifs pour certaines vulnérabilités encore en attente, divulguées publiquement par Nightmare Eclipse, également connu sous le nom de Chaotic Eclipse.

Les N-Days

Avec près de 200 CVE corrigées ce mois-ci, il serait difficile de ne pas évoquer les récents travaux de l’Anthropic Frontier Red Team, qui ont mis en avant la menace représentée par les N-days, c’est-à-dire des vulnérabilités connues qui n’ont pas encore été totalement corrigées dans les environnements concernés.

Dans le cadre de cette analyse, l’équipe a étudié 21 vulnérabilités d’élévation de privilèges dans le noyau Windows incluses dans les Patch Tuesday de janvier et février 2026. Des modèles tels que Sonnet, Opus et Mythos Preview ont été capables de produire des preuves de concept (PoC) d’exploitation en comparant les correctifs afin d’identifier les modifications apportées entre les versions précédentes et les versions corrigées.

Mythos Preview est même parvenu à générer des PoC pour 13 des 14 vulnérabilités que Microsoft classait comme présentant une probabilité faible ou très faible d’exploitation selon son Exploitability Index, un système d’évaluation conçu pour les analystes humains et non pour des modèles d’IA avancés.

Alors qu’Anthropic se prépare à lancer Mythos et que d’autres acteurs de l’IA développent des modèles comparables, réduire au plus vite le délai entre la publication d’un correctif et son déploiement effectif devient un enjeu critique pour les organisations.

Dossiers complémentaires sur le sujet avec les experts du site iTPro.fr

Microsoft Patch Tuesday Janvier 2026

Microsoft Patch Tuesday Février 2026

Patch Tuesday Mars 2026

Patch Tuesday Avril 2026

Patch Tuesday Mai 2026