Le Patch Tuesday de ce mois-ci de **Microsoft Corp.** apporte des correctifs pour au moins 77 vulnérabilités affectant les systèmes d'exploitation **Windows** et d'autres logiciels. Bien qu'il n'y ait pas de vulnérabilités 'zero-day' ce mois-ci, plusieurs correctifs méritent une attention immédiate de la part des organisations.  ## Vulnérabilités clés corrigées Deux vulnérabilités corrigées ce mois-ci avaient été divulguées publiquement auparavant : * **CVE-2026-21262** : Une vulnérabilité d'escalade de privilèges dans **SQL Server 2016** et les éditions ultérieures. Selon **Adam Barnett** de **Rapid7**, cette faille permet à un attaquant d'élever ses privilèges au niveau sysadmin sur un réseau. Le score de base CVSS v3 est de 8.8. * **CVE-2026-26127** : Une vulnérabilité dans les applications s'exécutant sur **.NET**. L'exploitation pourrait entraîner un déni de service dû à un crash, avec un potentiel d'autres attaques lors des redémarrages de service. ## Microsoft Office ciblé Comme à l'accoutumée, ce Patch Tuesday inclut des **Microsoft Office** exploits critiques. **CVE-2026-26113** et **CVE-2026-26110** sont des failles d'exécution de code à distance qui peuvent être déclenchées simplement en visualisant un message spécialement conçu dans le volet de visualisation. ## Bugs d'escalade de privilèges **Satnam Narang** de **Tenable** souligne que plus de la moitié (55%) des CVE du Patch Tuesday de ce mois-ci sont des bugs d'escalade de privilèges. Plusieurs sont classés comme 'exploitation plus probable', affectant des composants tels que le composant graphique Windows, l'infrastructure d'accessibilité Windows, le noyau Windows, le serveur SMB Windows et Winlogon. Exemples clés : * **CVE-2026-24291** : Attributions d'autorisations incorrectes au sein de l'infrastructure d'accessibilité Windows, accordant potentiellement un accès SYSTEM (CVSS 7.8). * **CVE-2026-24294** : Authentification incorrecte dans le composant SMB principal (CVSS 7.8). * **CVE-2026-24289** : Une faille de corruption de mémoire et de condition de concurrence de haute gravité (CVSS 7.8). * **CVE-2026-25187** : Une faiblesse du processus Winlogon découverte par Google Project Zero (CVSS 7.8). ## Découverte de vulnérabilités pilotée par l'IA **Ben McCarthy**, ingénieur principal en cybersécurité chez **Immersive**, a mis en évidence **CVE-2026-21536**, un bug critique d'exécution de code à distance dans le programme de tarification des appareils Microsoft. Notamment, cette vulnérabilité a été identifiée par **XBOW**, un agent de test d'intrusion IA entièrement autonome. Cela démontre le rôle croissant de l'IA dans la recherche de vulnérabilités. XBOW s'est constamment classé en tête du classement des primes de bugs HackerOne. Selon McCarthy, CVE-2026-21536 démontre comment les agents IA peuvent identifier des vulnérabilités critiques notées 9.8 sans accès au code source. ## Mises à jour supplémentaires Microsoft a précédemment publié des correctifs pour neuf vulnérabilités de navigateur, distinctes du décompte du Patch Tuesday. De plus, une mise à jour hors bande a été publiée le 2 mars pour **Windows Server 2022** afin de résoudre un problème de renouvellement de certificat avec Windows Hello for Business. ## Autres mises à jour de fournisseurs **Adobe** a publié des mises à jour corrigeant 80 vulnérabilités dans divers produits, notamment **Acrobat** et **Adobe Commerce**. **Mozilla Firefox** v. 148.0.2 résout trois CVE de haute gravité. Pour une analyse complète, consultez l'article Patch Tuesday du SANS Internet Storm Center. Les administrateurs d'entreprise Windows devraient également visiter AskWoody.com pour des mises à jour sur les correctifs problématiques. Envisagez de laisser un commentaire si vous rencontrez des problèmes lors de l'application des mises à jour de ce mois-ci.