Patch Tuesday de juin 2026

Vous avez peut-être déjà vu ou entendu une référence à la Patch Apocalypse ; si ce n’est pas le cas, vous trouverez plus de détails ici. Le graphique ci-dessus présente un échantillon de plusieurs applications de grands fournisseurs présentes dans nos environnements. Vous pouvez y voir, sur les douze derniers mois glissants, le nombre de CVE corrigées chaque mois dans ces applications. Avant février 2026, ce qui préoccupait le plus chaque mois était les mises à jour des systèmes d’exploitation : Microsoft, Apple, Android, les différentes distributions Linux, etc. C’était le socle autour duquel les entreprises organisaient leur maintenance mensuelle, en considérant le Patch Tuesday comme le point de départ de cette maintenance.

En observant les trois lignes pointillées du graphique, on constate que février a été le premier mois où la ligne bleue, représentant le système d’exploitation Microsoft Windows, a commencé à être concurrencée. C’était la première attribution de CVE découvertes par des outils d’IA. En avril, la deuxième ligne pointillée, nous avons assisté à l’annonce de Project Glasswing et à une forte hausse du nombre de CVE découvertes.

Avançons jusqu’au Patch Tuesday de juin : une ligne verte imposante apparaît à côté d’une ligne bleue tout aussi importante. Il s’agit de Google Chrome et de Microsoft Edge (Chromium), qui ont déjà publié deux mises à jour en juin, corrigeant au total plus de 500 CVE, dont un exploit zero-day (CVE-2026-11645). Aujourd’hui, nous sommes dans la Patch Apocalypse. La Patch Apocalypse, c’est maintenant.

L’objectif n’est pas d’employer une tactique alarmiste. Il s’agit de décrire le défi que de nombreuses organisations anticipaient déjà, mais que la nouvelle génération de LLM a considérablement accéléré au premier semestre 2026.

Les fournisseurs vont corriger davantage de CVE, à un rythme plus rapide et plus continu que tout ce que nous avons connu jusqu’à présent. Malheureusement, cela inclura également plus d’exploits zero-day et n-day qu’auparavant. Le délai entre la publication par un fournisseur et l’exploitation s’était déjà réduit à 5 jours selon les données de veille sur les menaces de 2023.

De nombreux fournisseurs reconnaissent la nécessité d’utiliser des outils d’IA dans leurs recherches en sécurité afin d’identifier et de corriger les failles de sécurité de leurs produits. Oracle a récemment annoncé l’intégration de la CSPU, ou mise à jour de sécurité mensuelle, dont juin constituera la deuxième occurrence dans cette nouvelle cadence de publication. Google Chrome était déjà passé à une cadence hebdomadaire en 2023. Mozilla publie généralement une à deux versions de sécurité par mois et suit désormais, lui aussi, une cadence presque hebdomadaire.

Ivanti observe une augmentation de 30 à 40 % du nombre de correctifs publiés chaque mois chez les fournisseurs pris en charge dans notre Patch Catalog, et nous nous attendons à ce que cette tendance continue de s’accélérer pendant un certain temps, jusqu’à atteindre un nouveau seuil stable. Mais nous pensons qu’il ne s’agit pas d’un pic : c’est la nouvelle normalité.

Nous revenons donc au Patch Tuesday de juin 2026, comme prévu, pour une mise à jour à date. Microsoft a corrigé 198 CVE, Google Chrome en a corrigé 74, dont l’exploit zero-day (CVE-2026-11645), et Adobe a corrigé 123 CVE au travers de 11 mises à jour.

À ce stade, je me sens un peu désensibilisé, mais il faut le souligner : il s’agit du plus grand nombre de CVE corrigées par Microsoft lors d’un seul Patch Tuesday. Le précédent record datait d’octobre 2025, avec 175 CVE corrigées. Cela semble presque anecdotique en comparaison du nombre de CVE corrigées par Chrome et Edge, soit 429, dans la mise à jour du 3 juin 2026 publiée la semaine précédente.

En élargissant la discussion au défi des publications continues : d’après le Patch Catalog d’Ivanti, un rapide décompte des mises à jour liées à la sécurité entre les Patch Tuesday de mai et de juin fait état de 89 mises à jour corrigeant 513 CVE (Chrome et Edge sont dédupliqués dans ce calcul). Ces mises à jour doivent être incluses dans votre prochaine maintenance si vous ne disposez pas aujourd’hui d’une approche de mise à jour continue.

Ces publications comprennent plusieurs versions pour tous les principaux navigateurs (Chrome, Firefox, Edge, Opera, etc.), des éditeurs et lecteurs PDF (Foxit, Adobe, Nitro), des outils de développement (Node.js, VSCodium, Docker), des utilitaires et applications courants (Notepad++, PuTTY, PyCharm, Wireshark, Splunk UF), des applications de productivité et de télécommunications (Teams, Zoom), entre autres.

Vulnérabilités Microsoft divulguées publiquement

Microsoft a corrigé une vulnérabilité de contournement de fonctionnalité de sécurité dans Windows BitLocker (CVE-2026-50507). La vulnérabilité est classée comme importante par Microsoft et affiche un score CVSS v3.1 de 6,8, mais elle a été divulguée publiquement. La CVE indique un niveau de maturité du code d’exploitation de type preuve de concept, ce qui augmente le risque d’exploitation. Un attaquant disposant d’un accès physique pourrait exploiter cette vulnérabilité pour contourner une fonctionnalité de sécurité et accéder à des données chiffrées.

Microsoft a corrigé une vulnérabilité de déni de service dans HTTP.sys (CVE-2026-49160). La vulnérabilité est classée comme importante par Microsoft et affiche un score CVSS v3.1 de 7,5, mais elle a été divulguée publiquement. La CVE indique un niveau de maturité du code d’exploitation non prouvé, ce qui signifie qu’aucun exemple de code n’a été divulgué au moment de sa publication. Un attaquant non autorisé pourrait tirer parti d’une consommation non contrôlée des ressources dans HTTP/2 pour provoquer un déni de service sur un réseau.

Microsoft a corrigé une vulnérabilité d’élévation de privilèges dans Windows Collaborative Translation Framework (CVE-2026-45586). La vulnérabilité est classée comme importante par Microsoft et affiche un score CVSS v3.1 de 7,8, mais elle a été divulguée publiquement. La CVE indique un niveau de maturité du code d’exploitation non prouvé, ce qui signifie qu’aucun exemple de code n’a été divulgué au moment de sa publication. Un attaquant exploitant avec succès cette vulnérabilité pourrait obtenir des privilèges SYSTEM sur le système cible.

Avis de sécurité Ivanti

Ivanti a publié deux mises à jour de sécurité pour juin. Ces mises à jour concernent Ivanti Endpoint Manager Mobile et Ivanti Sentry, et corrigent au total quatre CVE. Des informations complémentaires et des détails sur les mesures d’atténuation sont disponibles dans l’avis de sécurité de juin.

Vulnérabilités tierces

Adobe a publié 11 mises à jour corrigeant 123 CVE. Adobe a classé la mise à jour ColdFusion comme la plus prioritaire.

Google Chrome a corrigé 74 CVE dans la dernière mise à jour de Chrome, dont un exploit zero-day (CVE-2026-11645). Cette mise à jour intervient dans le sillage de la plus importante version de Chrome, publiée le 3 juin, qui corrigeait 429 CVE. Microsoft Edge doit également être mis à jour pour corriger ces CVE.

Liste des actions à mener pour les mises à jour de juin

• Google Chrome et Microsoft Edge sont les principales priorités ce mois-ci, afin de corriger plus de 500 CVE corrigées au cours de la semaine écoulée, ainsi qu’un exploit zero-day (CVE-2026-11645).
• La mise à jour du système d’exploitation Windows constitue la priorité suivante, car elle corrige plus de 110 CVE, selon l’édition.