Microsoft 570 failles de sécurité corrigées sur Windows 10, Windows 11 et Windows Server avec sa mise à jour Patch Tuesday de juillet, un chiffre qui brise tous les records mensuels établis jusqu’à présent. Ce total dépasse largement le précédent record mensuel de 206 failles de sécurité, enregistré en juin, et porte le nombre total de vulnérabilités corrigées depuis le début du mois à plus de 620.

Cumulé sur toute l’année 2026, le nombre de vulnérabilités corrigées par Microsoft atteint désormais 1 380, un chiffre qui dépasse déjà le précédent record annuel de 1 250 établi en 2020. Plus de 400 de ces failles concernent directement les différentes versions de Windows, que ce soit Windows 10, Windows 11 ou Windows Server.
Des failles critiques déjà exploitées sur Windows
Parmi les vulnérabilités Windows corrigées ce mois-ci figurent 24 failles d’exécution de code à distance jugées critiques, ainsi que 7 failles d’élévation de privilèges tout aussi critiques. Le plus préoccupant concerne les services de fédération Active Directory (ADFS), où la faille référencée CVE-2026-56155 permet à un attaquant d’obtenir un accès administrateur en exploitant des contrôles d’accès insuffisants. Il est déjà activement exploité à l’état sauvage. Cette vulnérabilité affecte un large éventail de systèmes, allant de Windows Server 2012 à Windows Server 2025, ainsi que certaines anciennes versions de Windows 10.
D’autres failles techniques méritent l’attention des administrateurs système :
- une vulnérabilité d’utilisation après libération (CVE-2026-57092) dans Hyper-V VMSwitch, permettant à un attaquant peu privilégié d’élever ses droits d’une machine invitée à l’hôte
- Une vulnérabilité d’exécution de code à distance (CVE-2026-56190) dans le protocole RDP (Remote Desktop Protocol), exploitable via des paquets spécialement conçus qui interagissent avec la mémoire non initialisée
- une vulnérabilité similaire (CVE-2026-56188) dans le pilote réseau Windows Server, affectant toutes les éditions de Windows 10 jusqu’à Server 2025
- neuf failles distinctes affectant le serveur DHCP, dont la faille critique CVE-2026-50518
Office et SharePoint concentrent également les risques
Le lot de correctifs de juillet comprend 97 vulnérabilités affectant la suite Office, soit près du double des 49 vulnérabilités identifiées en juin. 17 d’entre eux sont de type code arbitraire classé comme critique, dont certains peuvent être utilisés simplement via le volet de prévisualisation, sans même nécessiter l’ouverture du fichier concerné. Les 48 autres failles d’Office suivent un modèle d’attaque plus traditionnel, obligeant l’utilisateur à ouvrir directement un fichier malveillant.
SharePoint Server se concentre également sur plusieurs vulnérabilités sensibles ce mois-ci. La faille d’élévation de privilèges CVE-2026-56164 est déjà activement exploitée et permet l’accès au réseau sans authentification préalable de l’utilisateur. Une deuxième faille, CVE-2026-55040, permet également d’accéder aux fichiers sans authentification. Deux vulnérabilités supplémentaires, référencées CVE-2026-50522 et CVE-2026-58644, complètent ce lot, la première ayant fait l’objet d’une démonstration publique lors du concours de hacking Pwn2Own.
C’est l’occasion de rappeler que Microsoft a prolongé son programme étendu de mises à jour de sécurité pour Windows 10 jusqu’au 12 octobre 2027. L’entreprise a également corrigé des vulnérabilités affectant Exchange Server, son navigateur Edge, ainsi que des jeux. Minecraft Et Age of Empires II : Édition définitive. Le prochain Patch Tuesday sortira le 11 août 2026.






