Microsoft a établi un record avec sa version du Patch Tuesday de juin, traitant de 206 CVE dans ses produits et fournissant des correctifs pour ceux-ci, dont 38 sont jugés critiques et le reste important. Trois d’entre elles sont répertoriées comme étant de notoriété publique, mais aucune (jusqu’à présent) n’a été exploitée à l’état sauvage.
Nous n’avons aucune idée du nombre de ces bugs de juin qui ont été découverts à l’aide d’outils d’IA. Contrairement à l’événement de mise à jour du mois dernier, lorsque Redmond a révélé que son système de recherche de bogues agent avait détecté 16 des 137 vulnérabilités, il n’y a aucun mot sur l’assistance de l’IA pour les nouvelles versions.
On peut néanmoins supposer que l’IA a joué un rôle majeur. Comme Tom Gallagher, vice-président de l’ingénierie au Microsoft Security Response Center, l’a déclaré à propos du patch Tuesday de mai, qui comportait 30 failles critiques : « Nous nous attendons à ce que les versions continuent à augmenter pendant un certain temps. »
AD ENREGISTREMENT
AD ENREGISTREMENT
Le Patch Tuesday de juin a donné raison à Gallagher, surpassant celui de mai en termes de volume global et de bugs critiques.
« Je compte les CVE sur le Patch Tuesday depuis 2017, et c’est de loin la plus grande version mensuelle de cette période », a déclaré Dustin Childs, chasseur de bugs en chef de Zero Day Initiative, dans sa critique.
« Il est extraordinaire que Microsoft puisse produire autant de correctifs en un seul mois, mais cela suscite des inquiétudes », a-t-il ajouté, se demandant, comme nous l’avons fait : combien ont été trouvés via l’IA ?
Et : « Combien de correctifs ont été générés à l’aide de l’IA pour faciliter le codage ou les tests ? Quels problèmes de qualité peuvent exister dans ces correctifs ? Et probablement plus important encore, est-ce la nouvelle norme ? »
Childs a noté que mai et avril ont également vu des méga-sorties.
« Les administrateurs système devraient-ils ajuster leurs processus de priorisation et de déploiement de correctifs en fonction de ce nouveau volume de mises à jour ? Malheureusement, Microsoft ne fournit pas ces réponses pour le moment », a-t-il écrit, ajoutant ce fait amusant : « Le nombre actuel de CVE expédiés par Microsoft cette année dépasse le nombre total de CVE expédiés pour l’ensemble de 2018. »
Wowza.
Bien qu’il soit amusant de regarder d’un point de vue purement spéculatif, comme dans : « Microsoft sera-t-il dans le top 300 le mois prochain ? », nos pensées et nos prières vont néanmoins aux administrateurs système et aux équipes de gestion des vulnérabilités qui se noient désormais dans la vulnpocalypse induite par l’IA.
AD ENREGISTREMENT
Aucune des failles de sécurité du Patch Tuesday n’est répertoriée comme étant attaquée – du moins pas encore – mais trois sont répertoriées comme étant connues du public. Jetons un coup d’œil à ceux-ci d’abord.
Trois vulnérabilités connues
CVE-2026-49160 est une vulnérabilité de déni de service HTTP.sys dont nous avons parlé plus tôt ce mois-ci. Le chercheur californien Quang Luong a découvert l’attaque avec l’aide de l’agent Codex d’OpenAI, l’a baptisée HTTP/2 Bomb, et a déclaré qu’elle exploitait l’algorithme de compression d’en-tête HTTP/2 en envoyant des milliers de petits messages au serveur, le forçant à allouer rapidement de la mémoire et finalement à planter.
À l’époque, un porte-parole de Microsoft avait déclaré Le registre que Redmond était « conscient et enquêtait activement sur les mesures d’atténuation appropriées ». Mardi, le géant de la technologie a résolu le problème de sécurité en introduisant un nouveau paramètre de registre MaxHeadersCount, qui permet aux utilisateurs de limiter le nombre d’en-têtes inclus dans les requêtes HTTP/2 et HTTP/3, et devrait empêcher les attaques par déni de service.
CVE-2026-50507, un bug de contournement des fonctionnalités de sécurité dans Windows BitLocker, est le deuxième CVE répertorié comme divulgué publiquement et « une exploitation plus probable ». Selon l’avis, un attaquant disposant d’un accès physique au système vulnérable pourrait contourner la fonctionnalité de chiffrement de l’appareil BitLocker et accéder aux données cryptées de l’appareil.
Cette faille semble également être un correctif pour l’un des jours zéro abandonnés dans la guerre en cours entre Microsoft et un chasseur de bogues mécontent connu sous le nom de Nightmare Eclipse – probablement la vulnérabilité YellowKey révélée en mai. Nightmare a publié des détails sur le code d’exploitation et, dans certains cas, une preuve de concept complète pour six jours zéro, et a promis une version « fracassante » le 14 juin.
Le troisième bug publiquement connu, CVE-2026-45586, est une vulnérabilité d’élévation de privilèges du Windows Collaborative Translation Framework (CTFMON) qui peut être exploitée par un attaquant autorisé pour élever les privilèges localement et obtenir un accès au SYSTÈME. À partir de là, les malfaiteurs pourraient déployer des logiciels malveillants, voler des données et se déplacer latéralement dans l’environnement de la victime – alors corrigez celui-ci plus tôt.
Plus ces deux (sur 38) bugs critiques
AD ENREGISTREMENT
En plus de ces trois vulnérabilités connues qui ont circulé avant que Microsoft ne publie un correctif, quelques failles de sécurité classées critique 9,8 méritent d’être soulignées ce mois-ci.
Le premier, CVE-2026-45657, est un bug d’exécution de code à distance (RCE) du noyau Windows qui permet à des attaquants distants non authentifiés d’exécuter du code avec des privilèges au niveau du système sans aucune interaction de l’utilisateur. Cela est dû à une erreur dans la façon dont le noyau Windows traite certaines données TCP/IP et peut être exploité en envoyant des paquets réseau malveillants à un système Windows vulnérable, déclenchant ainsi la faille.
Même si Redmond la considère comme « une exploitation moins probable », nous apprécions la réponse de Childs. « Soyez assurés que tous les chercheurs et magasins de bogues de la planète sont en train d’annuler ce correctif en essayant de créer un exploit », a-t-il déclaré. « Testez et déployez ce correctif rapidement. »
CVE-2026-47291, une vulnérabilité HTTP.sys RCE qui a également obtenu une note CVSS de 9,8, mérite attention car elle peut également être déclenchée sans aucune interaction de l’utilisateur et Microsoft affirme qu’elle est « plus susceptible » d’être exploitée.
« Cette vulnérabilité crée de graves risques commerciaux car HTTP.sys est utilisé par les services Windows qui traitent le trafic HTTP », a déclaré Alex Vovk, PDG et co-fondateur du fournisseur de gestion de correctifs Action1. Le registre. « Une attaque réussie pourrait conduire à la prise de contrôle du serveur, au déploiement de logiciels malveillants, au vol de données, à l’interruption des services et à des mouvements latéraux à travers l’environnement. Les systèmes connectés à Internet sont particulièrement exposés. »
La bonne nouvelle : les systèmes utilisant la valeur de registre MaxRequestBytes par défaut de la pile HTTP Windows ne sont pas affectés. Dans l’avis, Redmond fournit des instructions détaillées sur la façon de modifier les paramètres du registre, ce qui peut faire gagner du temps (et de la sécurité) aux administrateurs lors du déploiement du correctif. ®
