Microsoft corrige plus de quatre-vingts vulnérabilités dans ses logiciels et services. Onze failles atteignent le niveau critique. Les autres reçoivent la cote importante. Les correctifs touchent des produits variés comme Windows, Office et Azure.
Les vulnérabilités critiques exposent les systèmes à des risques graves. Une faille dans le client DNS Windows (CVE-2026-41096) ouvre la porte à une exécution de code à distance. Le Hyper-V subit une escalade de privilèges (CVE-2026-40402). Le composant GDI Windows (CVE-2026-35421) et le pilote WiFi natif (CVE-2026-32161) connaissent des exécutions de code à distance. Le Netlogon (CVE-2026-41089) et le plugin SSO pour Jira et Confluence (CVE-2026-41103) présentent les mêmes dangers.
- Microsoft Office reçoit cinq correctifs critiques : trois pour Word (CVE-2026-40361, CVE-2026-40367, CVE-2026-40366 et CVE-2026-40364) et deux pour l’exécution de code à distance générale (CVE-2026-42831, CVE-2026-40363, CVE-2026-40358).
- SharePoint Server corrige une faille critique d’exécution de code à distance (CVE-2026-40365).
- Dynamics 365 en local bloque deux exécutions de code à distance, dont une critique (CVE-2026-42898).
- Le composant graphique Win32K GRFX (CVE-2026-40403) ferme une exécution de code à distance critique.
- M365 Copilot traite une divulgation d’informations critique (CVE-2026-26164).
Les produits cloud d’Azure regroupent plusieurs escalades de privilèges : Connected Machine Agent (CVE-2026-40381), Logic Apps (CVE-2026-42823), Monitor Agent (CVE-2026-32204 et CVE-2026-42830). Machine Learning corrige une usurpation d’identité (CVE-2026-33833). Le SDK Java bloque un contournement de sécurité (CVE-2026-33117).
Microsoft Office domine la liste avec des dizaines de failles. SharePoint compte six exécutions de code à distance (CVE-2026-40368, CVE-2026-35439, CVE-2026-33112, CVE-2026-40357, CVE-2026-33110). Excel gère trois vulnérabilités, dont deux exécutions de code (CVE-2026-40362, CVE-2026-40359) et une divulgation (CVE-2026-40360). Word ajoute des divulguations et usurpations. Click-to-Run ferme plusieurs escalades de privilèges.
Les composants Windows accumulent les correctifs. Le pilote WinSock traite quatre escalades (CVE-2026-35416, CVE-2026-41088, CVE-2026-34345, CVE-2026-34344). Cloud Files Mini Filter Driver en compte trois. Le noyau Windows et les pilotes associés bloquent des escalades et contournements. TCP/IP reçoit treize correctifs pour dénis de service, escalades et exécutions de code. DWM Core Library corrige des divulguations et escalades.
| Produit | Nombre de CVE critiques | Nombre total |
|---|---|---|
| Office et suites | 8 | 25 |
| Windows Kernel et pilotes | 2 | 40 |
| Azure et cloud | 0 | 8 |
| Autres | 1 | 15 |
.NET et ASP.NET Core ferment des escalades et falsifications (CVE-2026-35433, CVE-2026-32177, CVE-2026-32175, CVE-2026-42899). Visual Studio Code gère quatre failles variées. Teams bloque une usurpation (CVE-2026-32185).