Microsoft vient de publier son dernier patch Tuesday. Que retenir en quelques points clés ?
Analyse Patch Tuesday Mai 2026
Satnam Narang, Senior Staff Research Engineer chez Tenable partage son analyse sur la mise à jour du Patch Tuesday de Microsoft de ce mois-ci. Il revient sur la fin d’une longue série de correctifs incluant des failles zero-day, et souligne plusieurs vulnérabilités critiques affectant Microsoft Word et pouvant être exploitées via le volet de prévisualisation.
Aucune faille zero-day
Le Patch Tuesday de mai 2026 met fin à une longue série puisqu’il s’agit de la première publication depuis près de deux ans à ne contenir aucune faille zero-day. Depuis juillet 2024, chaque publication incluait au moins une zero-day soit activement exploitée, soit divulguée publiquement, avec une moyenne de 3,5 zero-day par mois sur une série de 22 mois.
Plus de 500 CVE
Cinq mois après le début de l’année 2026, Microsoft a déjà corrigé plus de 500 CVE, ce qui le place sur une trajectoire susceptible de dépasser le record de 1 245 vulnérabilités corrigées sur une seule année civile, établi en 2020.
Quatre failles critiques
Quelques vulnérabilités se distinguent dans cette publication. Microsoft a corrigé quatre failles critiques d’exécution de code à distance (RCE) dans Microsoft Word, toutes avec le même score CVSS de 8,4, mais seules deux d’entre elles (CVE-2026-40361 et CVE-2026-40364) sont considérées comme plus susceptibles d’être exploitées.
Ces vulnérabilités pourraient être exploitées par un attaquant envoyant un document malveillant à une cible. L’autre point commun entre ces failles est que la cible n’a même pas besoin d’ouvrir le document pour déclencher l’exploitation. Une exploitation est possible simplement en affichant un document malveillant dans le volet de prévisualisation. Ainsi, l’application des correctifs reste le moyen le plus fiable de se protéger contre ce type de vulnérabilités.
Dossiers complémentaires sur le sujet avec les experts du site iTPro.fr
Microsoft Patch Tuesday Novembre 2025
Microsoft Patch Tuesday Janvier 2026
Microsoft Patch Tuesday Février 2026
Téléchargez cette ressource
Sécuriser Microsoft 365 avec une approche Zero-Trust
Découvrez comment renforcer la cyber-résilience de Microsoft 365 grâce à une approche Zero-Trust, une administration granulaire et une automatisation avancée. La technologie Virtual Tenant de CoreView permet de sécuriser et simplifier la gestion des environnements complexes, tout en complétant vos stratégies IAM, y compris dans les secteurs réglementés.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Faire évoluer la souveraineté des données du statut d’ambition politique à son application opérationnelle
- Mythos et modèles-frontières : quel avenir pour la cybersécurité en France et en Europe face à l’IA ?
- IA agentique : des investissements massifs freinés par des données insuffisamment préparées
- CRM et souveraineté : le choix technologique est devenu un choix politique
Articles les + lus
Les coûts cachés des merge requests générées par l’IA
Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
Moderniser le développement logiciel : de la fragmentation à l’intégration
Analyse Patch Tuesday Avril 2026
Une nouvelle ère de la modernisation du mainframe
À la une de la chaîne Tech
- Les coûts cachés des merge requests générées par l’IA
- Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
- Moderniser le développement logiciel : de la fragmentation à l’intégration
- Analyse Patch Tuesday Avril 2026
- Une nouvelle ère de la modernisation du mainframe
