Patch Tuesday et Windows : Microsoft corrige une faille zero-day déjà exploitée
Posté : jeu. 15 janv. 2026 08:07
Patch Tuesday et Windows : Microsoft corrige une faille zero-day déjà exploitée
Il est temps de se mettre à jour
Microsoft a ouvert l’année 2026 avec un Patch Tuesday d’envergure, ce qui n’est pas forcement rassurant. Les récentes mises à jour cumulatives publiées corrigent pas moins de 112 vulnérabilités de sécurité à travers des composants système critiques de Windows et Office. Parmi elles figure une faille zero-day déjà exploitée dans la nature, ce qui renforce l’urgence du déploiement des correctifs.
Cette vulnérabilité est connue sous le nom CVE-2026-20805. Elle affecte le Desktop Window Manager (DWM), un composant central chargé de l’affichage des fenêtres et de l’interface graphique sous Windows. Bien que son score CVSS soit évalué à 5,5, donc modéré sur le papier, son exploitation active change radicalement le risque.
Le DWM n’est pas un composant anodin. Il gère la composition visuelle de l’interface utilisateur et s’exécute avec des privilèges élevés. Selon Satnam Narang, ingénieur principal chez Tenable, cette vulnérabilité est le premier “bug zero-day de divulgation d’informations” identifié dans le DWM. Elle permet à un attaquant d’extraire des informations sur la mémoire du système, affaiblissant ainsi les protections de sécurité comme l’ASLR.
A noter que ce type de fuite de mémoire ne constituent pas toujours une attaque complète mais elles servent souvent de tremplin pour des exploits plus graves.
Des vulnérabilités jugées « hautement exploitables »
Outre cette faille zero-day, Microsoft a identifié huit vulnérabilités supplémentaires comme étant susceptibles d’être exploitées. Deux d’entre elles concernent Windows NTFS et permettent l’exécution de code à distance via des débordements de mémoire tampon. Elles sont répertoriées sous les identifiants CVE-2026-20840 et CVE-2026-20922. Leurs score CVSS est de 7,8.
Si ces failles nécessitent un accès préalable au système, elles ne restent pas moins problématiques car un attaquant peut alors avoir la capacité d’exécuter du code arbitraire.
Une vague de failles d’élévation de privilèges
Enfin le bulletin de janvier comprend plusieurs vulnérabilités d’élévation de privilèges jugées à haut risque. Six failles distinctes touchent des composants clés de Windows, allant de Windows Installer au pilote réseau WinSock, en passant par Windows Error Reporting et le Desktop Window Manager. Chacune affiche un score CVSS de 7,8, traduisant un potentiel d’abus important dès lors qu’un attaquant dispose d’un accès initial au système.
En 2025, Microsoft a corrigé 1 275 vulnérabilités uniques à travers son écosystème logiciel, avec des pics notables dépassant les 160 correctifs sur un seul mois. Le Patch Tuesday de janvier 2026 s’inscrit dans cette tendance lourde, confirmant que la surface d’attaque de Windows et de ses composants semble s’élargir.
merci à Ginjfo
Il est temps de se mettre à jour
Microsoft a ouvert l’année 2026 avec un Patch Tuesday d’envergure, ce qui n’est pas forcement rassurant. Les récentes mises à jour cumulatives publiées corrigent pas moins de 112 vulnérabilités de sécurité à travers des composants système critiques de Windows et Office. Parmi elles figure une faille zero-day déjà exploitée dans la nature, ce qui renforce l’urgence du déploiement des correctifs.
Cette vulnérabilité est connue sous le nom CVE-2026-20805. Elle affecte le Desktop Window Manager (DWM), un composant central chargé de l’affichage des fenêtres et de l’interface graphique sous Windows. Bien que son score CVSS soit évalué à 5,5, donc modéré sur le papier, son exploitation active change radicalement le risque.
Le DWM n’est pas un composant anodin. Il gère la composition visuelle de l’interface utilisateur et s’exécute avec des privilèges élevés. Selon Satnam Narang, ingénieur principal chez Tenable, cette vulnérabilité est le premier “bug zero-day de divulgation d’informations” identifié dans le DWM. Elle permet à un attaquant d’extraire des informations sur la mémoire du système, affaiblissant ainsi les protections de sécurité comme l’ASLR.
A noter que ce type de fuite de mémoire ne constituent pas toujours une attaque complète mais elles servent souvent de tremplin pour des exploits plus graves.
Des vulnérabilités jugées « hautement exploitables »
Outre cette faille zero-day, Microsoft a identifié huit vulnérabilités supplémentaires comme étant susceptibles d’être exploitées. Deux d’entre elles concernent Windows NTFS et permettent l’exécution de code à distance via des débordements de mémoire tampon. Elles sont répertoriées sous les identifiants CVE-2026-20840 et CVE-2026-20922. Leurs score CVSS est de 7,8.
Si ces failles nécessitent un accès préalable au système, elles ne restent pas moins problématiques car un attaquant peut alors avoir la capacité d’exécuter du code arbitraire.
Une vague de failles d’élévation de privilèges
Enfin le bulletin de janvier comprend plusieurs vulnérabilités d’élévation de privilèges jugées à haut risque. Six failles distinctes touchent des composants clés de Windows, allant de Windows Installer au pilote réseau WinSock, en passant par Windows Error Reporting et le Desktop Window Manager. Chacune affiche un score CVSS de 7,8, traduisant un potentiel d’abus important dès lors qu’un attaquant dispose d’un accès initial au système.
En 2025, Microsoft a corrigé 1 275 vulnérabilités uniques à travers son écosystème logiciel, avec des pics notables dépassant les 160 correctifs sur un seul mois. Le Patch Tuesday de janvier 2026 s’inscrit dans cette tendance lourde, confirmant que la surface d’attaque de Windows et de ses composants semble s’élargir.
merci à Ginjfo