Récemment, Microsoft a informé ses clients que le nombre de vulnérabilités dans les mises à jour mensuelles devrait continuer d'augmenter sous l'effet de l'utilisation croissante des outils IA. Un mouvement qui se retrouve dans le Patch Tuesday du mois de juin avec un volume de plus de 200 failles réparées dont 3 zero day et 32 vulnérabilités jugées critiques. En mai dernier, le nombre de patchs était de 137.

Les trois failles en question ont été divulguées publiquement. Deux d'entre elles sont liées à des divulgations malveillantes affectant Windows par le chercheur Nightmare Eclipse qui ont suscité une vive attention : la CVE-2026-45586 (CTFMON) et la CVE-2026-50507 (contournement de BitLocker). La troisième est la CVE-2026-49160, de type déni de service (DoS) au score CVSS de 7,8 dans la pile de protocole HTTP/2 de Windows utilisée par divers services Windows.

D’autres vulnérabilités parmi les priorités

Les équipes de sécurité doivent également prendre note du correctif pour la CVE-2026-42897, une faille Exchange Server activement exploitée, initialement divulguée en mai. Cette faille avait d'abord été contournée, mais elle a désormais été corrigée. Dans, la liste des 15 vulnérabilités dont l'exploitation est jugée « plus probable » est dominée par la CVE-2026-47291, de type exécution de code à distance (RCE) au niveau du noyau, notée CVSS 9.8, dans http.sys. Les attaquants pourraient l'exploiter pour cibler plusieurs applications d'entreprise critiques, telles que IIS, WinRM ou le Centre d'administration Windows.

Il convient également de prêter attention à une série de failles d’évasion de machines virtuelles Hyper-V : à savoir les CVE-2026-47652, CVE-2026-45641 et CVE-2026-45607. Les personnes exploitant des réseaux sur site seront également intéressées par la CVE-2026-47288, une vulnérabilité RCE affectant le noyau Kerberos d'Active Directory, et CVE-2026-45648, une vulnérabilité CVSS de 8,8 affectant les services de domaine Active Directory (AD DS).