Graphique de type tableau de bord présentant trois lignes pour Adobe, Google Chrome et Microsoft, chacune avec trois vignettes colorées affichant le nombre de mises à jour de sécurité.

Veille du Patch Tuesday : ce qui a précédé juillet 2026

Adobe

Date de publication : 30 juin 2026 (APSB26-68 — ColdFusion ; bulletin publié le même jour pour Campaign Classic)

Nombre de CVE : 11 CVE dans ColdFusion, 1 dans Campaign Classic (12 au total)

La mise à jour ColdFusion d’Adobe a corrigé 11 vulnérabilités dans ColdFusion 2025 (Update 9 et versions antérieures) et ColdFusion 2023 (Update 20 et versions antérieures), dont sept avec un score CVSS de 10,0 :

Corrigées dans ColdFusion 2025 Update 10 et ColdFusion 2023 Update 21.

Point d’attention KEV : CVE-2026-48282 n’était pas signalée comme exploitée lors de sa publication, mais son exploitation a commencé environ deux heures après la publication d’un article technique public le 2 juillet. La CISA l’a ajoutée au catalogue KEV le 7 juillet, avec une échéance fédérale de remédiation fixée au 10 juillet — déjà dépassée. Toute instance ColdFusion exposée à Internet et encore non corrigée doit être traitée comme un incident actif, et non comme un simple élément de correctif de routine.

La CVE-2026-48286 de Campaign Classic (CVSS 10,0, autorisation incorrecte → exécution de code arbitraire) affecte les builds ACC v7 sur site 7.4.3 et antérieures. Les instances hébergées par Adobe avaient déjà été corrigées ; aucune exploitation n’a été signalée pour celle-ci.

Apple

Date de publication : 1er juillet 2026 (iOS/iPadOS 26.5.2, macOS Tahoe 26.5.2, Safari 26.5.2)

Nombre de CVE : 37 CVE (26 dans WebKit ; 11 dans le noyau, WebRTC, Web Extensions et d’autres composants)

Google Chrome

Dates de publication : 24 juin 2026 (Chrome 149.0.7827.197) et 8 juillet 2026 (Chrome 150.0.7871.114/.115) Nombre de CVE : 10 CVE (24 juin) + 27 CVE (8 juillet) = 37 CVE sur les deux versions

La mise à jour du 24 juin a corrigé 10 vulnérabilités, la plus sévère étant CVE-2026-13028 (CVSS 9,6, Critique) — une vulnérabilité use-after-free dans WebGL permettant une exécution de code à distance (RCE), en particulier sur Android.

La mise à jour du 8 juillet (Chrome 150) a corrigé 27 vulnérabilités supplémentaires : deux Critiques (CVE-2026-15112, CVE-2026-15129 — toutes deux de type use-after-free), 24 de sévérité Élevée (principalement des use-after-free dans Views, Extensions, Autofill, WebRTC et Codecs) et une Moyenne.

Point d’attention KEV : la précédente faille zero-day de Chrome, CVE-2026-11645 (lecture/écriture hors limites dans V8, exploitée activement), a été ajoutée au catalogue KEV de la CISA au titre de la BOD 26-04, avec une échéance au 23 juin — déjà dépassée au début de ce cycle. Aucune nouvelle CVE Chrome issue des publications du 24 juin ou du 8 juillet n’a été confirmée comme exploitée à ce jour.

Mozilla

Dates de publication : la version de sécurité la plus récente pour ordinateur était Firefox 152.0.4 (30 juin 2026, selon MFSA 2026-62) ; les MFSA suivantes (2026-64 à 2026-66) couvrent Thunderbird 140.12.1 et Firefox pour iOS 152.3/152.4 — des mises à jour mineures et uniquement mobiles

Nombre de CVE : aucun nouveau bulletin CVE Firefox/Thunderbird pour ordinateur dans la semaine précédant immédiatement le Patch Tuesday

Synthèse du Patch Tuesday

Le Patch Tuesday de Microsoft de juillet 2026 corrige ce mois-ci pas moins de 570 CVE, dont la majorité (509) sont classées Importantes, 58 Critiques et trois Modérées. Du point de vue de l’impact, les 249 élévations de privilèges et 143 exécutions de code à distance constituent l’essentiel des types d’impact, suivies de 102 divulgations d’informations. Deux CVE sont confirmées comme exploitées activement — une faille d’élévation de privilèges dans SharePoint (CVE-2026-56164) et une faille d’élévation de privilèges dans Active Directory Federation Services (CVE-2026-56155) — et une CVE, affectant Windows BitLocker (CVE-2026-50661), a été divulguée publiquement.

Adobe a publié 11 mises à jour corrigeant 88 CVE, dont 63 Critiques, 22 Importantes et trois Modérées. La répartition par impact comprend 51 vulnérabilités d’exécution de code arbitraire, 13 de contournement de fonctionnalité de sécurité, 12 d’escalade de privilèges, 7 de déni de service applicatif, trois de lecture arbitraire du système de fichiers et deux d’exposition de mémoire. Hormis la publication ColdFusion avant le Patch Tuesday, qui incluait un exploit connu, les 11 mises à jour du Patch Tuesday ne comprenaient aucun exploit connu ni divulgation publique.

Mozilla a publié Firefox 152.0.6, corrigeant deux CVE critiques. Du code d’exploitation divulgué publiquement est disponible pour les deux vulnérabilités (CVE-2026-15718 et CVE-2026-15719) ; toutefois, Mozilla n’a actuellement connaissance d’aucune exploitation active.

Google Chrome Desktop 150.0.7871.124/.125 a été publié pour Windows et Mac. Aucune CVE n’a été signalée lors de la publication, mais compte tenu du nombre considérable de vulnérabilités corrigées au cours du dernier mois et demi, il est préférable de s’assurer que toutes les installations Chrome utilisent la dernière version.

Vulnérabilités Microsoft exploitées

Microsoft a corrigé une vulnérabilité d’élévation de privilèges dans Microsoft SharePoint Server (CVE-2026-56164). Cette vulnérabilité est classée Modérée par Microsoft et présente un score CVSS de 5,3, mais elle a été activement exploitée. Un attaquant non autorisé pourrait élever ses privilèges via un réseau. Le vecteur d’attaque de la CVE est le réseau, car elle est exploitable à distance depuis Internet. La complexité de l’attaque est également classée comme faible. Microsoft a fourni certains facteurs d’atténuation susceptibles d’aider à détecter une attaque éventuelle, mais une méthodologie de priorisation fondée sur les risques justifie de corriger cette vulnérabilité dès que possible.

Microsoft a corrigé une vulnérabilité d’élévation de privilèges dans Active Directory Federation Services (CVE-2026-56155). Cette vulnérabilité est classée Importante et présente un score CVSS de 7,8, mais elle a été activement exploitée. Elle pourrait permettre à un attaquant d’élever localement ses privilèges afin d’obtenir des droits administrateur. Microsoft classe cette vulnérabilité comme Importante, mais une méthodologie de priorisation fondée sur les risques justifie de la corriger dès que possible.

Vulnérabilités Microsoft divulguées publiquement

Microsoft a corrigé une vulnérabilité de contournement de fonctionnalité de sécurité dans Windows BitLocker (CVE-2026-50661). Cette vulnérabilité est classée Importante par Microsoft et présente un score CVSS de 6,1, mais elle a été divulguée publiquement. Une attaque réussie pourrait contourner la fonctionnalité BitLocker Device Encryption sur le périphérique de stockage système, permettant l’accès aux données chiffrées. Même si la maturité du code pour cette vulnérabilité est actuellement indiquée comme non démontrée, la divulgation signifie que des informations sont disponibles pour orienter un acteur malveillant vers une exploitation. Une approche de priorisation fondée sur les risques justifie de corriger cette vulnérabilité en priorité ce mois-ci.

Avis de sécurité Ivanti

Ivanti a publié une mise à jour de sécurité pour Ivanti Xtraction corrigeant deux CVE (une de sévérité Élevée et une de sévérité Moyenne). Vous trouverez plus de détails et d’informations sur les mesures d’atténuation dans l’avis de sécurité de juillet.

Liste des actions pour la mise à jour de juillet

  • Envisagez de passer à une approche de remédiation plus continue si ce n’est pas déjà fait. L’augmentation continue de la découverte des CVE et de la fréquence des mises à jour, due à la découverte des vulnérabilités accélérée par l’IA, va se poursuivre, et la pression réglementaire visant à corriger les expositions les plus à risque en quelques jours, voire quelques heures, deviendra la nouvelle norme.
  • Mettez à jour vos navigateurs ! Tous. À ce stade, ils suivent un rythme hebdomadaire, mais envisagez de vérifier et d’effectuer les mises à jour deux fois par semaine, voire quotidiennement, afin de réduire la fenêtre d’exploitation des vulnérabilités connues comme exploitées.
  • Corrigez ou atténuez les vulnérabilités connues comme exploitées dans Microsoft SharePoint (CVE-2026-56164), le système d’exploitation Windows (CVE-2026-56155), et Adobe ColdFusion (CVE-2026-48282) dès que possible.