Origine : bjCSIRT
Numéro : 2026/ALERTE/051
APERÇU :
De multiples vulnérabilités ont été découvertes dans les produits Microsoft permettant à un acteur malveillant d’exécuter du code arbitraire à distance, d’élever ses privilèges, de contourner une mesure de sécurité ou de provoquer un déni de service.
DESCRIPTION
Dans le cadre de son Patch Tuesday de juin 2026, Microsoft a corrigé plus de 200 vulnérabilités, dont une trentaine classées critiques, ainsi que trois (03) vulnérabilités de type zero-day. Les vulnérabilités les plus critiques sont les suivantes :
- CVE-2026-45657 (CVSS 9.8) : Exécution de code à distance via le noyau Windows ;
- CVE-2026-47291 (CVSS 9.8) : Exécution de code à distance via le pilote HTTP.sys ;
- CVE-2026-44815 (CVSS 9.8) : Exécution de code à distance via le client DHCP Windows ;
- CVE-2026-49160 (CVSS 7.5) : Déni de service à distance via HTTP.sys (HTTP/2 « Bomb »).
Vulnérabilités ZERO-DAY
- CVE-2026-41091 (CVSS 7.8) : Élévation de privilèges via Microsoft Defender ;
- CVE-2026-50507 (CVSS 6.8) : Contournement de fonctionnalité de sécurité via Windows BitLocker ;
- CVE-2026-45586 (CVSS 7.8) : Élévation de privilèges via le composant CTFMON conduisant à l’obtention de privilèges SYSTEM.
Compte tenu de la criticité de ces vulnérabilités, de leur exploitation active ainsi que de la divulgation publique de certaines d’entre elles, il est vivement recommandé d’appliquer sans délai les mises à jour de sécurité publiées par Microsoft sur l’ensemble des produits concernés.
IMPACT
- Compromission des systèmes ;
- Atteinte à la confidentialité et à l’intégrité des données ;
- Élévation de privilèges ;
- Exécution de code arbitraire ;
- Déni de service.
SYSTEMES AFFECTÉS
Les produits Windows ne disposant pas de la mise à jour de sécurité du 09/06/2026.
MESURES À PRENDRE :
Mettre à jour vers leur dernière version stable tous les produits Microsoft.
RÉFÉRENCES :