Si vous êtes un utilisateur Windows, vous souhaiterez peut-être installer la dernière mise à jour de sécurité dès que possible. La mise à jour Patch Tuesday de juillet de Microsoft corrige un nombre record de 570 bogues, dont trois zéro-day qui ont été activement exploités ou divulgués publiquement. Auparavant, la mise à jour de juin était la plus importante jamais réalisée, avec des correctifs pour un peu plus de 200 failles.
Comme le rapporte BleepingComputer, les correctifs sont répartis dans les catégories suivantes : 254 vulnérabilités d’élévation de privilèges, 17 vulnérabilités de contournement des fonctionnalités de sécurité, 145 vulnérabilités d’exécution de code à distance, 102 vulnérabilités de divulgation d’informations, 16 vulnérabilités d’usurpation d’identité et 35 vulnérabilités de déni de service. Cinquante-neuf des bogues sont classés « critiques » et incluent l’exécution de code à distance, l’élévation de privilèges, le contournement de la sécurité et les failles d’usurpation d’identité. Notez que ces chiffres n’incluent pas les autres vulnérabilités corrigées par Microsoft plus tôt ce mois-ci.
Microsoft a corrigé ces trois Windows Zero Day en juillet
Les vulnérabilités Zero Day constituent le type de faille de sécurité le plus dangereux. Un zero-day est une faille qui a été activement exploitée ou divulguée publiquement avant que le développeur ne publie un correctif officiel. Deux des zero-days abordés avec le Patch Tuesday de ce mois-ci ont été activement exploités, tandis qu’un a été divulgué publiquement.
Le premier zero-day activement exploité, intitulé CVE-2026-56155, est une faille d’élévation de privilèges dans les services de fédération Active Directory qui permet à un attaquant d’élever les privilèges localement sur votre machine. Jeremy Kingston et Scott Clark, membres de l’équipe Microsoft Detection and Response Team (DART), ont découvert cette vulnérabilité.
La deuxième vulnérabilité activement exploitée (CVE-2026-56164) est également une faille d’élévation de privilèges, celle-ci dans Microsoft SharePoint Server. Une authentification manquante pour une « fonction critique » peut permettre à un attaquant non autorisé d’élever ses privilèges sur un réseau. Microsoft attribue cette découverte à une poignée de chercheurs : Jayson Frost de Mandiant Incident Response, Genwei Jiang de Google Cloud, FLARE OTF et un individu anonyme.
Le troisième Zero Day abordé ce mois-ci a été rendu public, mais aucun exploit connu n’est actuellement signalé. CVE-2026-50661 est une faille de contournement de sécurité dans Windows BitLocker qui pourrait permettre à un attaquant disposant d’un accès physique d’obtenir des données cryptées. Microsoft attribue cette découverte à un chercheur anonyme.
Comment installer la mise à jour du Patch Tuesday de juillet
Les mises à jour du Patch Tuesday sont généralement publiées vers 10 heures du matin, heure du Pacifique, le deuxième mardi de chaque mois. Vous devriez les recevoir automatiquement, mais encore une fois, vous devez vous assurer que ces correctifs sont installés sur votre appareil dès que possible. Vérifiez l’état de la mise à jour de votre PC sous Démarrer > Paramètres > Windows Update > Rechercher les mises à jour Windows et installez la dernière mise à jour disponible.