Un record de 167 vulnérabilités corrigées par Microsoft
Microsoft a déployé ses mises à jour mensuelles du Patch Tuesday d'avril 2026, corrigeant 167 vulnérabilités dans Windows et ses logiciels associés. Parmi elles, deux failles zero-day étaient déjà exploitées par des attaquants : une dans SharePoint Server et une autre, surnommée BlueHammer, dans Windows Defender.
CVE-2026-32201 : une faille SharePoint Server dangereuse
La vulnérabilité CVE-2026-32201 dans SharePoint Server permet aux attaquants de spoofing des contenus ou interfaces légitimes sur un réseau. Mike Walters, cofondateur d'Action1, explique :
« Cette faille peut être exploitée pour des attaques de phishing, la manipulation de données non autorisées ou des campagnes d'ingénierie sociale, augmentant significativement les risques pour les organisations. »
BlueHammer (CVE-2026-33825) : une élévation de privilèges dans Windows Defender
La faille BlueHammer, découverte par Will Dormann de Tharros, permet une élévation de privilèges dans Windows Defender. Après avoir publié un code d'exploitation public en raison de la lenteur de la réponse de Microsoft, Dormann confirme que le correctif d'avril rend l'exploitation impossible.
Autres mises à jour critiques ce mois-ci
Google Chrome a corrigé son quatrième zero-day de 2026, tandis qu'Adobe Reader a publié une mise à jour d'urgence pour une faille activement exploitée permettant l'exécution de code à distance.
Adobe Reader : une faille exploitée depuis novembre 2025
Satnam Narang de Tenable révèle que la faille CVE-2026-34621, corrigée en urgence le 11 avril, était exploitée depuis au moins novembre 2025.
Record de vulnérabilités dans les navigateurs
Adam Barnett de Rapid7 souligne que ce Patch Tuesday établit un nouveau record avec près de 60 failles dans les navigateurs, notamment via Microsoft Edge (basé sur Chromium). Il attribue cette hausse à l'amélioration des outils d'IA comme Project Glasswing d'Anthropic, capables de détecter davantage de vulnérabilités.
Recommandations pour les utilisateurs
Pour garantir l'installation des correctifs, il est conseillé de redémarrer complètement son navigateur, même avec de nombreux onglets ouverts. Par exemple, Chrome a corrigé 21 failles ce mois-ci, dont le zero-day CVE-2026-5281.
Ressources utiles
- Consultez le détail des correctifs sur le site du SANS Internet Storm Center.
- Pour signaler des problèmes lors de l'installation, contactez le support technique de Microsoft ou des éditeurs concernés.
Articles connexes
L'IA avancée, une révolution dans la guerre selon un haut responsable du Pentagone
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
Cybersécurité : l'identité numérique devient cruciale face à l'essor de l'IA
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn victime d’une cyberattaque : des usines nord-américaines perturbées
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
L'IA pulvérise les records en cybersécurité autonome : les nouveaux modèles dépassent toutes les attentes
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
La Chambre des représentants enquête sur l'IA Mythos d'Anthropic et ses risques cyber
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
Fraude et usurpation d'identité par IA : une menace en pleine accélération
Today’s enterprise executives are navigating a complex landscape of AI-driven challenges, but none is more urgent than the rapid escalation of AI-gene...
OpenAI lance Daybreak : une IA dédiée à la cybersécurité pour contrer les cybermenaces
OpenAI has unveiled Daybreak, a cybersecurity initiative that combines the company’s large language models with its Codex agentic framework to help or...
Deepfakes en temps réel : la Chine derrière un logiciel utilisé pour des arnaques mondiales
We start this week with Joseph’s story about how we obtained Haotian AI, a sought-after piece of realtime video deepfake software that lets you turn i...