## Microsoft corrige six vulnérabilités zero-day exploitées activement Le Patch Tuesday de février de **Microsoft** traite un nombre important de failles de sécurité, en mettant l'accent sur les vulnérabilités déjà exploitées dans la nature. Les professionnels de la sécurité informatique et les utilisateurs soucieux de leur vie privée devraient accorder la priorité à l'examen et à l'application de ces mises à jour.  ## Vulnérabilités zero-day en détail Le lot de correctifs de ce mois-ci comprend des corrections pour les vulnérabilités zero-day suivantes : * **CVE-2026-21510** : Une vulnérabilité de contournement de fonctionnalité de sécurité dans **Windows Shell**. L'exploitation permet aux attaquants de contourner les protections de Windows et d'exécuter du code sans le consentement de l'utilisateur via un lien malveillant. Cela affecte toutes les versions prises en charge de Windows. * **CVE-2026-21513** : Un bug de contournement de sécurité dans **MSHTML**, le moteur de rendu du navigateur Web par défaut de Windows. * **CVE-2026-21514** : Une vulnérabilité connexe de contournement de fonctionnalité de sécurité dans **Microsoft Word**. * **CVE-2026-21533** : Une vulnérabilité d'escalade de privilèges locale dans **Windows Remote Desktop Services**, permettant aux attaquants d'obtenir un accès de niveau SYSTEM. * **CVE-2026-21519** : Une faille d'élévation de privilèges dans le **Desktop Window Manager** (DWM). C'est le deuxième zero-day DWM corrigé en autant de mois. * **CVE-2026-21525** : Une vulnérabilité de déni de service dans le **Windows Remote Access Connection Manager**, potentiellement perturbatrice pour les connexions VPN. ## Vulnérabilités liées à l'IA dans GitHub Copilot et les IDE **Kev Breen** chez **Immersive** a souligné l'importance des correctifs abordant les vulnérabilités d'exécution de code à distance affectant **GitHub Copilot** et plusieurs environnements de développement intégrés (IDE), notamment **VS Code**, **Visual Studio** et les produits **JetBrains**. Les CVE pertinentes sont **CVE-2026-21516**, **CVE-2026-21523** et **CVE-2026-21256**. Ces vulnérabilités liées à l'IA découlent d'une faille d'injection de commande qui peut être déclenchée par l'injection de prompts, permettant potentiellement aux attaquants d'exécuter du code malveillant via l'agent IA. Breen a insisté sur le risque pour les développeurs, qui ont souvent accès à des données sensibles comme les clés API. La compromission de ces clés via un prompt IA malveillant pourrait avoir un impact significatif, en particulier dans les environnements utilisant des Large Language Models (LLM) et l'IA agentique. Il recommande d'appliquer les principes du moindre privilège et de limiter le rayon d'action des secrets de développeur compromis. ## Informations et ressources supplémentaires **Chris Goettl** chez **Ivanti** a noté que Microsoft a publié plusieurs mises à jour de sécurité hors bande depuis janvier, y compris des correctifs pour les échecs d'invite d'identification et un zero-day dans **Microsoft Office** (**CVE-2026-21509**). Le **SANS Internet Storm Center** fournit une [analyse cliquable](https://isc.sans.edu/diary/Microsoft%20Patch%20Tuesday%20-%20February%202026/32700) des correctifs individuels, indexés par sévérité et score CVSS. Les administrateurs d'entreprise peuvent surveiller [askwoody.com](https://www.askwoody.com/2026/february-2026-security-updates/) pour obtenir des informations sur les mises à jour problématiques. N'oubliez pas de sauvegarder vos données avant d'appliquer ces mises à jour.