PG Software - Votre distributeur IT

Blog

Catégories du blog

Le Patch Tuesday de janvier 2026 arrive avec des correctifs pour 112 vulnérabilités, dont 3 zero-days

Détails
Catégorie parente: Solutions ManageEngine
Desktop

Le Patch Tuesday de janvier est arrivé ! Alors que tout le monde s'installe doucement dans la nouvelle année et fixe de nouvelles résolutions, nous plongeons directement dans la liste des vulnérabilités corrigées ce mois-ci. Ce mois-ci, il y a des correctifs pour 112 vulnérabilités, dont 3 zero-days, parmi lesquels 1 est activement exploité. Inscrivez-vous également à notre webinaire gratuit sur le Patch Tuesday et obtenez des insights d'experts alors que nous décomposons les mises à jour du Patch Tuesday de ce mois-ci, les vulnérabilités clés et ce qu'elles signifient pour votre environnement.

Aperçu des mises à jour de sécurité de janvier 2026

  • Total des CVE corrigés : 112
  • Vulnérabilités zero-day : 3 (1 activement exploitée)
  • Vulnérabilités critiques : 8
  • CVE republiés : 3 (référez-vous aux Notes de publication MSRC)

Note : Parmi les 8 vulnérabilités critiques corrigées ce mois-ci, 6 permettent l'exécution de code à distance et 2 permettent l'élévation de privilèges.

Produits, fonctionnalités et rôles affectés

Des mises à jour de sécurité ont été publiées pour plusieurs produits Microsoft critiques, notamment :

  • SQL Server
  • Noyau Windows
  • Microsoft Office
  • Windows Admin Center
  • Windows NTFS

Pour consulter la liste complète des produits, fonctionnalités et rôles affectés, veuillez vous référer aux Notes de publication MSRC

Répartition des vulnérabilités

Le Patch Tuesday ne serait pas complet sans une répartition des types de vulnérabilités. Voici comment les vulnérabilités de ce mois-ci sont distribuées :

  • Élévation de privilèges (57) – Les attaquants peuvent élever leurs privilèges d'utilisateurs ordinaires à un niveau administrateur en utilisant des techniques trompeuses.
  • Exécution de code à distance (22) – Les attaquants exécutent du code à distance, souvent avec rien de plus qu'un fichier ou un paquet malveillant.
  • Divulgation d'informations (22) – Risque de fuite d'informations sensibles de manière non intentionnelle.
  • Usurpation d'identité (6) – Les attaquants se font passer pour des sources de confiance, compromettant la confiance et la sécurité.
  • Contournement de fonctionnalités de sécurité (3) – Attaques qui contournent les mécanismes de sécurité intégrés, permettant aux menaces de passer inaperçues.
  • Déni de service (2) – Attaques qui arrêtent les services, causant des perturbations importantes.

Détails des vulnérabilités zero-day

CVE-2026-20805

  • Composant vulnérable : Gestionnaire de fenêtres de bureau
  • Impact : Divulgation d'informations
  • Score CVSS : 5.5

Une vulnérabilité de divulgation d'informations dans le Gestionnaire de fenêtres de bureau Windows a été corrigée par Microsoft suite à la confirmation d'une exploitation active. La faille permet à un attaquant local autorisé d'accéder à des informations sensibles en raison d'une gestion incorrecte de la mémoire au sein du composant. Une exploitation réussie permet aux attaquants de lire les adresses de sections associées à un port ALPC distant, qui réside en mémoire mode utilisateur, potentiellement aidant à des attaques ultérieures telles que l'élévation de privilèges ou l'enchaînement d'exploitations.

Microsoft a crédité le Microsoft Threat Intelligence Center (MSTIC) et le Microsoft Security Response Center (MSRC) pour la découverte de la vulnérabilité, mais n'a pas divulgué de détails techniques sur la façon dont elle a été exploitée dans des attaques réelles.

CVE-2026-21265

  • Composant vulnérable : Chaîne de confiance des certificats Secure Boot Windows
  • Impact : Contournement de fonctionnalités de sécurité
  • Score CVSS : 6.4

Une vulnérabilité de contournement de fonctionnalités de sécurité a été identifiée dans Windows Secure Boot en raison de l'expiration prochaine de certificats émis en 2011. Microsoft a averti que les systèmes non mis à jour à temps font face à un risque accru de contournement des protections Secure Boot par les attaquants, permettant potentiellement le chargement de composants de démarrage non fiables ou malveillants lors du démarrage du système.

Le problème affecte plusieurs certificats critiques qui forment la base de la chaîne de confiance Secure Boot, y compris le Microsoft Corporation KEK CA 2011 utilisé pour signer les mises à jour DB et DBX, le Microsoft Corporation UEFI CA 2011 utilisé pour signer les chargeurs de démarrage tiers et les ROM d'options, et le Microsoft Windows Production PCA 2011 utilisé pour signer le Gestionnaire de démarrage Windows. Alors que ces certificats approchent de leurs dates d'expiration en 2026, les systèmes qui en dépendent sans appliquer les correctifs de sécurité mis à jour deviennent vulnérables à des échecs de validation de confiance et à des scénarios de contournement de sécurité.

Les mises à jour de sécurité de Microsoft renouvellent les certificats affectés pour maintenir l'intégrité du processus Secure Boot et assurer la vérification continue de tous les composants de démarrage. L'entreprise avait précédemment mis en évidence ce risque dans un avis de juin intitulé « Expiration des certificats Windows Secure Boot et mises à jour CA », soulignant l'importance d'un correctif en temps opportun pour préserver la sécurité de la plateforme.

CVE-2023-31096

  • Composant vulnérable : Pilote de modem logiciel Agere Windows (agrsm64.sys, agrsm.sys)
  • Impact : Élévation de privilèges
  • Score CVSS : 7.8

Microsoft a corrigé une vulnérabilité d'élévation de privilèges dans les pilotes de modem logiciel tiers Agere en les supprimant définitivement des versions Windows prises en charge. Cette vulnérabilité était activement exploitée par des acteurs de menace pour élever leurs privilèges d'un contexte utilisateur limité à un contrôle administratif. Une fois exploitée, elle permettait aux attaquants de compromettre totalement les systèmes affectés et d'effectuer des actions illimitées après avoir obtenu un point d'entrée initial. Ils avaient précédemment averti des risques associés à ces pilotes vulnérables lors d'un précédent Patch Tuesday et déclaré qu'ils seraient éliminés dans une mise à jour future. Dans le cadre de la mise à jour cumulative de janvier 2026, les pilotes affectés, agrsm64.sys et agrsm.sys, ont été officiellement supprimés de Windows, empêchant toute exploitation supplémentaire via ce vecteur d'attaque.

Microsoft a crédité Zeze de TeamT5 pour la découverte et le signalement de la vulnérabilité.

Mises à jour de sécurité tierces

Plusieurs fournisseurs ont émis des correctifs de sécurité critiques ce mois-ci :

  • Adobe : A publié des mises à jour de sécurité pour InDesign, Illustrator, InCopy, Bridge, Substance 3D Modeler, Substance 3D Stager, Substance 3D Painter, Substance 3D Sampler, ColdFusion et Substance 3D Designer.
  • Cisco : A corrigé une vulnérabilité dans Identity Services Engine (ISE) avec un exploit de preuve de concept public.
  • Fortinet : A résolu plusieurs problèmes dans ses produits, y compris deux vulnérabilités critiques d'exécution de code à distance (RCE).
  • D-Link : A confirmé une vulnérabilité activement exploitée affectant des routeurs en fin de vie.
  • Google : A publié le bulletin de sécurité Android de janvier, corrigeant une faille critique « DD+ Codec » impactant les composants Dolby.
  • jsPDF : A corrigé une vulnérabilité critique qui pourrait permettre de faire passer des fichiers arbitraires d'un serveur lors de la génération de PDF.
  • n8n : A corrigé une vulnérabilité de sévérité maximale, surnommée « Ni8mare », capable de détourner des serveurs.
  • SAP : A publié des mises à jour de sécurité de janvier pour plusieurs produits, y compris une faille critique (CVSS 9.9) d'injection de code dans SAP Solution Manager.
  • ServiceNow : A divulgué une vulnérabilité critique d'élévation de privilèges dans la plateforme AI ServiceNow.
  • Trend Micro : A corrigé une faille critique dans Apex Central (sur site) permettant l'exécution de code arbitraire avec des privilèges SYSTEM.
  • Veeam : A publié des mises à jour de sécurité pour Backup & Replication, y compris une vulnérabilité critique RCE.

Les correctifs de janvier donnent à vos systèmes un coup de pouce de sécurité solide, vous aidant à commencer l'année avec une plus grande protection et confiance. Les solutions de ManageEngine rendent ce processus simple. Avec Endpoint Central, Patch Manager Plus et Vulnerability Manager Plus, vous pouvez rationaliser l'ensemble du processus de gestion des correctifs : du test des correctifs à leur déploiement, en passant par l'atténuation efficace des vulnérabilités. Vous pouvez également adapter les tâches de correctifs selon les besoins de votre entreprise.

Inscrivez-vous dès maintenant à notre webinaire gratuit Patch Tuesday pour obtenir davantage d’informations sur ces mises à jour Patch Tuesday. Nos experts fourniront une analyse approfondie des mises à jour, partageront les meilleures pratiques pour la gestion des correctifs sur l’ensemble de votre réseau et présenteront les points clés concernant les dernières vulnérabilités en tendance. Vous resterez ainsi informé, préparé et en avance sur les menaces potentielles. Vous pourrez également poser toutes vos questions relatives aux correctifs et aux vulnérabilités et obtenir des réponses en direct pendant le webinaire.