Microsoft Azure : une vulnérabilité affectant le composant edk2 signalée par le CERT-FR

Le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) a émis un avis, le 16 juin 2026, relatif à une faille de sécurité découverte dans l'environnement Microsoft Azure. Identifiée sous la référence CVE-2026-34182, cette vulnérabilité concerne spécifiquement le composant azl3 edk2 dans ses versions 20240524git3e722403cd16-17 et antérieures.

Selon le bulletin de sécurité publié par Microsoft le 13 juin 2026, cette faiblesse expose les systèmes à un risque dont la nature précise n'a pas été détaillée par l'éditeur. Le CERT-FR indique que l'attaquant peut provoquer « un problème de sécurité non spécifié par l'éditeur », sans préciser davantage l'impact potentiel. Aucun niveau de criticité n'a été communiqué par Microsoft dans son avis.

Les systèmes vulnérables sont ceux exécutant les versions du paquet azl3 edk2 antérieures à la version 20240524git3e722403cd16-18. Ce composant est utilisé dans le cadre de l'infrastructure Azure Linux, une distribution dédiée aux charges de travail cloud de Microsoft.

Correctif disponible

Microsoft a mis à disposition une mise à jour corrective via son guide de sécurité en ligne. Le CERT-FR recommande aux administrateurs de se référer au bulletin de sécurité de l'éditeur pour appliquer le correctif approprié. La référence complète de la vulnérabilité est accessible sur le site du CERT-FR ainsi que sur le portail CVE.

Cette annonce s'inscrit dans une série d'alertes récentes concernant Microsoft Azure. Depuis fin mai 2026, le CERT-FR a déjà signalé plusieurs vulnérabilités, dont une permettant une élévation de privilèges le 27 mai, une autre identifiée le 1er juin, et trois vulnérabilités supplémentaires relevées le 5 juin et le 10 juin. La récurrence de ces avis souligne l'attention soutenue portée à la sécurité de la plateforme cloud de Microsoft par les autorités françaises de cybersécurité.

Les équipes techniques des entreprises utilisant Azure sont invitées à vérifier la version de leur composant azl3 edk2 et à déployer sans délai la mise à jour fournie par Microsoft.