Microsoft Corp. a corrigé mardi plus de 200 failles de sécurité, soit le nombre le plus élevé que l'entreprise ait jamais corrigé en un seul Patch Tuesday, les chercheurs affirmant que la chasse aux bogues de l'intelligence artificielle est la raison pour laquelle ce nombre continue d'augmenter.
Le précédent record était de 175 corrections, établi en octobre dernier. Le lot de ce mois-ci contenait 38 failles critiques et Microsoft en a expédié plusieurs seulement après que les bogues aient été rendus publics.
Le pire du groupe était CVE-2026-45657, une faille d'utilisation après libération dans la pile TCP/IP du noyau Windows qui a obtenu un score de 9,8 sur l'échelle du Common Vulnerability Scoring System. Un attaquant n’avait besoin d’aucune information d’identification ni d’aucune interaction de l’utilisateur pour l’exploiter. Microsoft affirme que le bug est vermifuge sur certains réseaux. Aucun exploit public n’avait fait surface mercredi.
Les attaquants exploitaient déjà deux des vulnérabilités corrigées avant mardi. L’un d’entre eux est suivi sous le nom CVE-2026-42897 et touche le composant Outlook Web Access d’Exchange Server. CISA l'a ajouté à son catalogue de vulnérabilités exploitées connues en mai. L'autre, CVE-2026-41091, permet à un attaquant d'élever ses privilèges via Microsoft Defender. Microsoft a fourni un correctif d'urgence en mai et un correctif officiel ce mois-ci.
Parmi les zéros divulgués publiquement figure CVE-2026-49160, une faille de déni de service dans HTTP.sys liée à une technique d'attaque baptisée « HTTP/2 Bomb ». Microsoft a attribué le bug au Codex d'OpenAI Group PBC, l'un des premiers cas publiquement attribués d'un système d'IA signalant une vulnérabilité dans un cycle majeur de Patch Tuesday. Deux autres zéros proviennent de divulgations non coordonnées par un chercheur pseudonyme connu sous le nom de Nightmare Eclipse, qui a publié un code de validation de principe pour un bug de Windows Defender quelques heures après la publication de mardi.
Ce volume record fait suite aux propres efforts de Microsoft en matière de découverte de vulnérabilités basée sur l'IA. La société a détaillé le mois dernier MDASH, un système d'analyse agent qui utilise plus de 100 agents d'IA et a révélé 16 failles jusqu'alors inconnues corrigées en mai.
Les chercheurs ont déclaré que cette augmentation reflète un changement structurel plutôt qu’un pic ponctuel.
« Nous nous dirigeons vers un été à enjeux élevés pour la cybersécurité », a déclaré Dustin Childs, responsable de la sensibilisation aux menaces chez Zero Day Initiative de Trend Micro, qui a déclaré à SiliconANGLE que cette publication est « un avertissement sévère selon lequel l'IA stimule la découverte de failles à une échelle incontrôlable ». Childs a noté que le nombre de vulnérabilités livrées par Microsoft cette année dépasse déjà le total de 2018. « Il est extraordinaire que Microsoft puisse produire autant de correctifs en un seul mois et je pense que de nombreux testeurs se demandent quels problèmes de qualité peuvent exister », a-t-il déclaré.
Le volume s’étend désormais bien au-delà du décompte du Patch Tuesday lui-même. Adam Barnett, ingénieur logiciel principal de la société de cybersécurité gérée Rapid7 Inc., a déclaré à SiliconANGLE que Microsoft avait livré ce mois-ci des correctifs pour 360 vulnérabilités du navigateur, un ordre de grandeur au-dessus des normes récentes et avait donc cessé d'énumérer les bogues Chromium dans son guide de mise à jour de sécurité. « D'autres catégories de vulnérabilités, en particulier les vulnérabilités du noyau Linux, connaissent une augmentation similaire dans les rapports de vulnérabilités assistés par l'IA », a-t-il ajouté.
