Un graphique présente le nombre de bulletins de sécurité publiés par Adobe, Microsoft et Mozilla, avec le nombre de vulnérabilités critiques et importantes.

Dans la continuité de Patch Apocalypse, nous observons déjà ce mois-ci des évolutions plus marquées dans les mises à jour de nombreux éditeurs.

Oracle a annoncé une nouvelle cadence de publication à partir de mai 2026 afin de répondre à l’accélération de la détection des vulnérabilités introduite par Mythos et d’autres modèles de sécurité fondés sur l’IA. Les mises à jour mensuelles Critical Security Patch Update (CSPU) viendront combler l’intervalle de deux mois entre les mises à jour trimestrielles Critical Patch Update (CPU).

Mozilla travaillait déjà avec des modèles d’IA avant Mythos ce qui a conduit à la résolution de 22 bugs ayant un impact sur la sécurité dans Firefox 148. Mozilla a annoncé poursuivre sa collaboration avec Anthropic afin d’appliquer une version préliminaire de Mythos à Firefox, et a publié Firefox 150, qui corrige 271 vulnérabilités identifiées lors de l’évaluation. Depuis la publication de Firefox 150.0.0, Mozilla a adopté une cadence hebdomadaire plus soutenue pour les mises à jour de sécurité, avec notamment la publication de Firefox 150.0.3 lors du Patch Tuesday de mai, corrigeant entre trois et cinq CVE dans chaque version.

Apple est un autre participant précoce au Project Glasswing et a récemment observé une hausse du nombre d’expositions corrigées. L’entreprise corrige généralement environ 20 CVE par mise à jour de sécurité iOS. Pour sa dernière mise à jour du 11 mai, le volume dépasse 70 CVE corrigées sur l’ensemble des 11 mises à jour Apple. Même si aucune vulnérabilité n’est activement exploitée, le nombre de mises à jour à gérer est important.

Microsoft a corrigé 118 CVE dans la mise à jour du Patch Tuesday du 12 mai 2026. Aucune vulnérabilité exploitée ou divulguée publiquement n’est signalée ce mois-ci, mais les mises à jour corrigent 16 CVE critiques, 105 importantes, 5 modérées et 1 faible. Office représente probablement le risque le plus élevé ce mois-ci, avec quatre vulnérabilités RCE critiques corrigées dans cette mise à jour, mais le système d’exploitation, comme d’habitude, compte également de nombreuses CVE corrigées.

Vulnérabilités tierces (jusqu’au Patch Tuesday inclus)

Adobe a corrigé 52 CVE dans sa mise à jour du Patch Tuesday, qui comprenait 10 bulletins. Adobe Commerce est clairement la priorité : il s’agit de la seule mise à jour de priorité deux ce mois-ci, avec 10 CVE critiques, dont deux avec un score CVSS de 8,7, ainsi que plusieurs vulnérabilités DoS ne nécessitant aucun privilège d’administration pour être exploitées.

Apple a publié le 11 mai des mises à jour pour ses plateformes, corrigeant entre 25 et 52 CVE selon la plateforme. Cette publication ne comprenait aucune vulnérabilité exploitée ou divulguée publiquement, mais son volume est nettement supérieur à la moyenne.

Google a publié Chrome 148 le 5 mai, corrigeant 127 CVE, dont trois classées critiques. Google suit depuis quelque temps une cadence hebdomadaire pour les mises à jour de Chrome, mais la mise à jour du 5 mai est bien plus importante que la moyenne pour Chrome (il s’agit peut-être du plus grand nombre de CVE corrigées dans une seule mise à jour). Une autre version de Chrome est attendue au moment du Patch Tuesday ou peu après.

Depuis la publication de Firefox 150, Mozilla suit un calendrier hebdomadaire régulier de publication pour Firefox. Mozilla a fait parler de lui avec les 271 CVE corrigées dans Firefox 150.0.0 et corrige depuis en moyenne trois à cinq CVE chaque semaine. La publication de Firefox 150.0.3 lors du Patch Tuesday est la dernière version en date ; elle corrige cinq CVE, toutes classées élevées.

Avis de sécurité Ivanti

Ivanti a publié quatre mises à jour de sécurité pour le Patch Tuesday de mai. Ces mises à jour concernent Ivanti Secure Access Client, Ivanti Xtraction, Ivanti Virtual Traffic Manager et Ivanti Endpoint Manager, et corrigent sept CVE. Vous trouverez davantage de détails et d’informations sur les mesures d’atténuation dans l’Avis de sécurité de mai.

Par ailleurs, Ivanti a publié le 7 mai une mise à jour de sécurité pour Ivanti Endpoint Manager Mobile (EPMM), qui corrige cinq CVE, dont CVE-2025-6973. Au moment de la divulgation, Ivanti avait connaissance d’une exploitation très limitée de CVE-2026-6973, qui nécessite une authentification administrateur pour réussir. Vous trouverez davantage de détails et d’informations sur les mesures d’atténuation dans l’Avis de mise à jour de sécurité EPMM de mai 2026.

Actions à mener pour les mises à jour de mai

  • La cadence des mises à jour tierces s’accélère. Veillez à prioriser des calendriers de mise à jour plus fréquents pour les applications critiques, telles que les navigateurs, les applications de productivité et les applications de télécommunications.
  • Microsoft et Apple ont tous deux publié des mises à jour pour pratiquement toutes les plateformes. Aucun exploit n’est signalé, mais de nombreuses vulnérabilités doivent être corrigées.