L'éditeur a publié un nombre sans précédent de mises à jour de sécurité, dont plusieurs concernent des composants Azure Linux et une faille Exchange Server déjà exploitée.
Un volume de correctifs inédit
Le cycle mensuel de correctifs de Microsoft pour juin 2026 marque un tournant historique. L'entreprise a diffusé 198 correctifs de sécurité, soit le total le plus élevé jamais enregistré pour un Patch Tuesday. Cette vague de mises à jour couvre l'ensemble de son écosystème, depuis Windows et Office jusqu'aux composants cloud et serveurs.
Des failles activement exploitées
Parmi les vulnérabilités colmatées, une attention particulière est portée à la CVE-2026-42897, qui affecte plusieurs versions de Microsoft Exchange Server (2016 Cumulative Update 23, 2019 Cumulative Update 14 et 15, ainsi que Subscription Edition RTM). Cette faille permet à un attaquant non authentifié de provoquer une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité, simplement en amenant un utilisateur à ouvrir un courriel piégé dans Outlook Web Access. L'éditeur a confirmé que cette vulnérabilité fait l'objet d'une exploitation active.
Un correctif pour cette faille spécifique a été mis à disposition le 9 juin, après une alerte initiale émise le 14 mai. En attendant, le service de contournement d'urgence pour Exchange (Exchange Emergency Mitigation Service) est activé par défaut et fonctionne automatiquement. Pour les environnements déconnectés, une procédure manuelle a été détaillée par l'éditeur.
Des correctifs pour Azure Linux et d'autres composants
Le Patch Tuesday de juin inclut également des mises à jour pour des composants utilisés dans Azure Linux (anciennement CBL-Mariner). Plusieurs bulletins de sécurité, datés du 31 mai, du 7 juin et du 9 juin, concernent des vulnérabilités affectant des logiciels tels que Ansible (version 2.17.11-1 et antérieures), GnuTLS (3.8.3-11 et antérieures), Perl-DBI (1.643-3 et antérieures), Perl-HTML-Parser (3.82-1 et antérieures), RRDtool (1.8.0-2 et antérieures) et Xorg-X11-Server-Xwayland (24.1.6-4 et antérieures). Les correctifs portent ces versions à 2.17.11-2, 3.8.13-1, 1.643-4, 3.82-2, 1.8.0-3 et 24.1.12-1 respectivement.
Des risques non spécifiés
Pour plusieurs de ces vulnérabilités, l'éditeur n'a pas précisé la nature exacte du risque. Les avis de sécurité indiquent simplement un « problème de sécurité non spécifié par l'éditeur », ce qui rend difficile l'évaluation précise de l'impact pour les administrateurs. Il est recommandé de se référer aux bulletins de sécurité individuels pour obtenir des détails supplémentaires.
Recommandations
Les autorités de cybersécurité, notamment le CERT-FR, exhortent les organisations à appliquer ces correctifs sans délai, en particulier ceux concernant Exchange Server, étant donné l'exploitation active de la faille CVE-2026-42897. La consultation régulière des annonces de l'éditeur est également conseillée pour suivre l'évolution de la situation.
Ce record de correctifs illustre la complexité croissante de la maintenance de la sécurité dans un environnement informatique de plus en plus interconnecté, où chaque composant peut devenir une porte d'entrée pour des attaquants.
