Résumé Exécutif
En janvier 2026, Microsoft a publié des correctifs pour 114 vulnérabilités dans son Patch Tuesday mensuel. Parmi celles-ci, 8 failles critiques ont été corrigées, principalement des vulnérabilités d’exécution de code à distance (RCE) et d’élévation de privilèges (EoP) affectant Windows et Office. Microsoft a confirmé qu’une vulnérabilité était activement exploitée (CVE-2026-20805) et que deux autres étaient publiquement divulguées avant la publication des correctifs (CVE-2023-31096 et CVE-2026-21265). L’une des failles divulguées a conduit Microsoft à supprimer des pilotes de modem vulnérables du système (pilotes Agere). Par ailleurs, une mise à jour importante de Secure Boot traite l’expiration imminente de certificats UEFI en 2026 (CVE-2026-21265). Ce Patch Tuesday comprend également des correctifs critiques pour Microsoft Office (plusieurs RCE exploitables via un document malveillant, même sans ouverture explicite grâce au volet de visualisation), ainsi que pour des composants Windows clés (Graphics, LSASS, Virtualization-Based Security, etc.).
D’autres éditeurs majeurs ont également diffusé des correctifs de sécurité notables. Mozilla a corrigé 34 vulnérabilités dans Firefox/Thunderbird, dont deux failles de corruption mémoire présumées exploitées activement (CVE-2026-0891 et CVE-2026-0892) pouvant conduire à de l’exécution de code arbitraire. Google a mis à jour Chrome (et Edge basé sur Chromium) pour combler une faille grave dans le composant WebView (CVE-2026-0628) permettant de contourner des politiques de sécurité. Adobe a publié 11 bulletins de sécurité corrigeant 25 CVE dans de nombreux produits (Dreamweaver, InDesign, Illustrator, ColdFusion, etc.), incluant plusieurs RCE critiques – aucune n’étant signalée comme activement exploitée au moment de la sortie. Fortinet a annoncé des correctifs pour des failles critiques dans ses produits, notamment une injection de commandes système non authentifiée dans FortiSIEM (CVE-2025-64155, CVSS 9,4) et une fuite de configuration critique dans FortiFone (CVE-2025-47855, CVSS 9,3), ainsi qu’un débordement de tampon dans FortiOS pouvant conduire à une exécution de code à distance (CVE-2025-25249). SAP a livré 17 notes de sécurité, dont 4 vulnérabilités critiques – par exemple une injection SQL critique (CVSS 9,9) dans SAP S/4HANA (CVE-2026-0501) entraînant un compromis complet du système, et une RCE (CVSS 9,6) dans SAP Wily Introscope (CVE-2026-0500) exploitable via un fichier JNLP malveillant. Enfin, bien que VMware n’ait pas publié de correctifs ce mois-ci alignés sur le Patch Tuesday, il convient de noter la révélation fin 2025 de failles critiques “zero-day” dans ESXi (par ex. ESXicape : CVE-2025-22224/5/6) qui ont été exploitées par des attaquants pour s’échapper de machines virtuelles et exécuter du code au niveau de l’hyperviseur.
Vulnérabilités Microsoft
Volume et gravité. Le premier Patch Tuesday de 2026 de Microsoft comprend des correctifs pour 112 nouvelles CVE (et 2 avis mis à jour), couvrant Windows, Office, Azure et d’autres produits. Au total, Microsoft classe 8 vulnérabilités comme critiques et 104 comme importantes (aucune modérée ou faible). Près de la moitié des failles corrigées sont des élévations de privilèges (57 EoP), et environ 19 % sont des exécutions de code à distance (22 RCE). Windows est le plus impacté (93 CVE affectant Windows), suivi par la suite Office (16 CVE).
Faille zero-day exploitée (DWM). La seule vulnérabilité signalée comme exploitée activement est CVE-2026-20805, une faille importante de divulgation d’information dans le Desktop Window Manager de Windows. Notée CVSS 5.5, elle permet à un attaquant authentifié avec de faibles privilèges d’accéder à des informations sensibles en mémoire via un canal de communication interne de Windows. En pratique, la fuite d’adresses mémoire peut aider à contourner des protections ou préparer d’autres exploits. Microsoft indique que cette faille a été exploitée comme zero-day dans la nature. Bien que son impact direct soit limité (lecture mémoire seulement), elle peut rendre des attaques RCE plus fiables en divulguant des adresses utiles. Toutes les versions prises en charge de Windows 10, Windows 11 et Windows Server sont concernées par DWM.
Vulnérabilités publiquement divulguées. Deux failles corrigées ce mois-ci étaient déjà connues publiquement. La première, CVE-2023-31096, est une vulnérabilité d’élévation de privilèges (CVSS 7.8) affectant un ancien pilote de modem (Agere Soft Modem). Des détails étant publics depuis 2023, Microsoft a choisi de supprimer purement et simplement ces pilotes du système via le correctif de janvier. En conséquence, tout matériel modem s’appuyant sur ces pilotes cessera de fonctionner après la mise à jour – une mesure radicale soulignant la sévérité du problème. La seconde, CVE-2026-21265, est une vulnérabilité de contournement de fonction de sécurité dans Windows Secure Boot (CVSS 6.4). Microsoft avait déjà annoncé que plusieurs certificats UEFI critiques de 2011 expireront en 2026. Cette faille réside dans le mécanisme de mise à jour de ces certificats Secure Boot arrivant à expiration. Elle a été rendue publique dans la documentation Microsoft car, si elle n’est pas exploitée directement par des attaquants (risque “Exploitation Less Likely” selon Microsoft), elle peut causer des problèmes majeurs : une fois les anciens certificats expirés (juin-octobre 2026), les appareils qui ne les auront pas mis à jour pourraient ne plus accepter de nouveaux chargeurs d’amorçage ou mises à jour de sécurité signés. En clair, les administrateurs doivent s’assurer d’appliquer ce patch qui ajoute les nouveaux certificats Secure Boot (datés 2023), faute de quoi les machines pourraient cesser d’accepter des correctifs ou de démarrer des composants légitimes après expiration.
Failles critiques dans Windows et Office. Huit vulnérabilités sont classées critiques par Microsoft ce mois-ci. Parmi elles, six permettent une exécution de code à distance (RCE) et deux une élévation de privilèges (EoP), selon Cisco Talos. Aucune n’était activement exploitée au moment de la publication, mais elles représentent des risques élevés :
- Microsoft Office (RCE via documents) – Deux CVE critiques (CVE-2026-20952 et CVE-2026-20953) affectent la suite Office et sont notées CVSS 8.4. Un attaquant peut exploiter des vulnérabilités de type use-after-free en persuadant la cible d’ouvrir un fichier Office malveillant ou même via l’aperçu du document (Volet de prévisualisation). Notamment, Microsoft souligne que l’Explorateur Windows peut être un vecteur d’attaque : l’aperçu d’un fichier Office piégé dans le volet de prévisualisation peut suffire pour exécuter du code, sans ouverture explicite du fichier par la victime. Ces failles, bien que classées “Exploitation Moins Probable” par Microsoft, sont préoccupantes car elles pourraient être intégrées dans des campagnes par e-mail (pièces jointes piégées) exploitant l’aperçu pour exécuter du code arbitraire.
- Microsoft Word et Excel (RCE) – En complément, CVE-2026-20944 (Word) et CVE-2026-20955/CVE-2026-20957 (Excel) sont trois autres RCE critiques dans les produits Office. CVE-2026-20944 (Word, CVSS 8.4) implique une lecture hors limites pouvant conduire à l’exécution de code. Son exploitation requiert généralement que l’utilisateur ouvre un fichier DOCX piégé (le volet de prévisualisation est également un vecteur potentiel). Les deux failles Excel (CVSS 7.8) proviennent d’une déréférence de pointeur non fiable (CVE-2026-20955) et d’un integer underflow menant à un débordement de mémoire heap (CVE-2026-20957). Contrairement à Word, le volet de prévisualisation n’est pas un vecteur pour ces deux failles Excel – l’utilisateur doit ouvrir le classeur malveillant pour déclencher l’exploit. Ensemble, ces vulnérabilités Office constituent une surface d’attaque importante (fichiers Office piégés) à haute criticité.
- Windows Graphics Component (EoP) – CVE-2026-20822 est une vulnérabilité critique (CVSS 7.8) d’élévation de privilèges dans le composant graphique de Windows. Elle provient d’un bug de type use-after-free avec condition de compétition, permettant à un attaquant local (ayant de faibles privilèges) d’obtenir les privilèges SYSTÈME. L’exploitation nécessite de gagner une condition de course, ce qui la rend complexe, mais ne requiert aucune interaction de l’utilisateur. Fait notable, dans des environnements utilisant la virtualisation GPU, cette faille pourrait permettre à un attaquant depuis une VM invitée de s’échapper sur l’hôte (briser l’isolement VM/hyperviseur). Microsoft indique un statut “Exploitation Moins Probable” pour CVE-2026-20822.
- Windows LSASS (RCE réseau) – CVE-2026-20854 est une RCE critique (CVSS 7.5) dans le service LSASS (Local Security Authority Subsystem Service). Une fois authentifié sur un domaine ou un réseau, un attaquant avec de faibles privilèges peut exploiter un use-after-free dans LSASS en envoyant des données spécialement conçues via des attributs de répertoire, provoquant une corruption mémoire pendant un processus d’authentification. L’exploitation pourrait conduire à l’exécution de code sur le contrôleur de domaine ou la machine ciblée, sans nécessiter de privilèges élevés préalables. Cependant, elle est complexe car l’attaquant doit préparer l’environnement cible pour fiabiliser le trigger du bug. Microsoft évalue aussi son exploitation comme “Moins Probable”. Malgré la complexité, une RCE dans LSASS (processus critique du système) est très sérieuse car LSASS gère des secrets d’authentification – son compromis peut mener à une compromission totale du domaine.
- Windows VBS Enclave (EoP privilégiée) – CVE-2026-20876 est une faille critique (CVSS 6.7) affectant l’enclave de sécurité VBS (Virtualization-Based Security). VBS isole certaines fonctions de sécurité dans un environnement virtualisé (niveaux de privilège VTL0/1/2). Cette vulnérabilité est un dépassement de tampon dans l’enclave VBS permettant à un attaquant déjà administrateur sur la machine de franchir les barrières vers le niveau de confiance maximal (VTL2). En d’autres termes, un attaquant qui aurait compromis Windows pourrait ensuite utiliser cette faille pour désactiver ou contourner les protections les plus critiques assurées par VBS (par exemple l’isolation de la mémoire des credentials, Credential Guard, etc.), menaçant l’intégrité du système même en cas de compromission initiale. L’attaque est jugée « relativement simple » à exécuter une fois les privilèges administrateur obtenus (pas d’interaction utilisateur requise), mais l’utilité est de post-exploitation. Microsoft note cette faille comme non publique et peu probable à exploiter massivement, mais elle revêt une importance stratégique pour des attaquants cherchant à persister dans des environnements fortement protégés.
Vulnérabilités Windows notables (importantes). Outre les critiques, plusieurs failles importantes méritent mention en raison de leur exploitabilité potentielle élevée :
- Windows NTFS (RCE) – CVE-2026-20840 et CVE-2026-20922 sont deux vulnérabilités RCE (CVSS 7.8) dans le système de fichiers NTFS. Microsoft les a évaluées comme “Exploitation Plus Probable” bien qu’elles soient classées importantes. Les deux proviennent de débordements de tas (corruption mémoire heap) dans le gestionnaire NTFS, exploitables par n’importe quel utilisateur authentifié, sans privilège particulier. Un attaquant local pourrait ainsi exécuter du code arbitraire au niveau du noyau, potentiellement en chaînant depuis une première compromission limitée. Ces failles soulignent le risque interne : un utilisateur avec un compte de faible niveau sur une machine pourrait l’exploiter pour une élévation de privilège ou une exécution de code système. Il convient donc de ne pas les négliger, d’autant que des exploits pourraient en théorie être mis au point vu la nature des bugs (corruptions mémoire sur NTFS).
- Pilotes tiers vulnérables (Blocage) – Outre la faille CVE-2023-31096 sur les pilotes de modem Agere évoquée plus haut, on note que Microsoft a également adressé un autre pilote vulnérable: CVE-2024-55414, un problème d’EoP similaire dans un pilote de modem Motorola (CVSS 7.8). Bien que les détails soient limités, la mention « MITRE: CVE-2024-55414 Windows Motorola Soft Modem Driver EoP » suggère que ce pilote, probablement tout aussi obsolète, a également été bloqué ou retiré. Microsoft continue ainsi d’éliminer de Windows des pilotes à risque qui ne sont plus maintenus, afin de réduire la surface d’attaque.
Règles de détection (Snort). En réponse aux failles de ce mois, Cisco Talos a publié des règles Snort pour aider les centres opérationnels (SOC) à détecter d’éventuelles tentatives d’exploitation sur les réseaux. Les règles Snort 2 ajoutées couvrent les identifiants 65498, 65499, 65663–65676, et des règles Snort 3 correspondantes 301344, 301368–301374 ont également été diffusées. Ces signatures portent notamment sur l’exploitation des vulnérabilités RCE critiques et de certaines failles importantes discutées ci-dessus. Il est recommandé aux analystes SOC et CERT de mettre à jour leur ensemble de règles IDS/IPS en conséquence pour bénéficier de cette couverture additionnelle. (NB: des règles supplémentaires pourront être publiées ultérieurement si de nouvelles informations sur les exploits émergent).
Vulnérabilités chez les autres éditeurs
En dehors de l’écosystème Microsoft, le début janvier 2026 a vu plusieurs éditeurs diffuser des mises à jour de sécurité importantes :
Mozilla (Firefox & Thunderbird).
La fondation Mozilla a publié des correctifs pour 34 CVE à l’occasion de la sortie de Firefox 147, de son équivalent Firefox ESR 140.7 et de Thunderbird 147/140.7. Toutes ces failles sont classées de gravité Haute (High) par Mozilla. Parmi elles, deux vulnérabilités zero-day ont retenu l’attention : CVE-2026-0891 et CVE-2026-0892. Ces deux entrées CVE correspondent à des groupes de failles de sécurité mémoire découvertes et corrigées dans Firefox/Thunderbird (ex : corruption de mémoire, échappement de sandbox). Mozilla indique que “certaines de ces bugs montraient des preuves de corruption mémoire et [on] suppose qu’avec des efforts suffisants, certaines pourraient être exploitées pour exécuter du code arbitraire”. Autrement dit, bien qu’aucun détail d’exploitation spécifique ne soit public, la présence de corruptions mémoire a fait craindre des exploits à l’état sauvage. CVE-2026-0891 concerne les bugs de sécurité mémoire présents dans Firefox 146/ESR 140.6 et Thunderbird 146/ESR 140.6 (corrigés dans Firefox 147 / ESR 140.7). CVE-2026-0892 vise un contexte similaire (failles mémoire dans Firefox 146 / Thunderbird 146, corrigées par Firefox 147). Ces CVE sont généralement attribués par Mozilla pour englober plusieurs défauts de gestion mémoire (hors ceux listés individuellement) et reçoivent souvent une note CVSS élevée (d’après CISA, CVSS v3.1 9.8 pour CVE-2026-0892). Deux autres failles Mozilla sont à noter : CVE-2026-0878 et CVE-2026-0879, des erreurs de bornes dans le composant graphique, ayant permis des échappements de sandbox (confinement). Globalement, aucune de ces failles n’est déclarée comme exploitée de manière certaine, mais Mozilla a suffisamment de soupçons pour alerter sur CVE-2026-0891/0892. Il est recommandé de déployer les mises à jour Firefox 147 (ainsi que Firefox ESR 115.32 et 140.7, et Thunderbird 115.32/140.7) sans délai étant donné la popularité de ces applications et l’attrait des failles de type use-after-free pour les attaquants.
Google (Chrome/Chromium).
Google a émis le 6 janvier 2026 une mise à jour de Chrome (également reprise par Microsoft Edge le 13 janvier) pour corriger entre autres CVE-2026-0628, une vulnérabilité classée High. Il s’agit d’un problème d’application insuffisante des politiques de sécurité dans l’élément WebView de Chromium. Concrètement, WebView est un composant permettant d’afficher du contenu web dans des applications – la faille permettait à une extension malveillante ou à du contenu spécialement conçu de contourner des restrictions de sécurité et d’injecter du code arbitraire dans des pages privilégiées. En d’autres termes, un attaquant pouvait potentiellement exploiter cette faiblesse pour réaliser une attaque de type XSS universel ou élever ses privilèges dans le contexte du navigateur. Chrome 143.0.7499.192 corrige ce problème. Aucune exploitation active n’a été rapportée publiquement, mais compte tenu de la surface (navigateurs web, WebView utilisé dans de nombreuses applications Android/desktop), Google a traité cette faille rapidement. Les administrateurs doivent s’attendre également à une mise à jour de Microsoft Edge (basé sur Chromium) incluant ce correctif autour de la même période.
Adobe.
Adobe a profité du Patch Tuesday de janvier pour publier 11 bulletins de sécurité, adressant 25 CVE distincts dans une gamme étendue de produits. Les applications concernées incluent des outils de création et de design (Adobe Photoshop, Illustrator, InDesign, InCopy, Bridge, Dreamweaver), la suite Substance 3D (Designer, Stager, Painter, Sampler, Modeler) ainsi que la plateforme serveur ColdFusion. La plupart des failles corrigées sont de sévérité critique, typiquement des vulnérabilités d’exécution de code arbitraire (par ex. corruption mémoire) permettant à un attaquant d’exécuter du code malveillant à distance sur la machine de l’utilisateur. À noter, le bulletin ColdFusion 2023.0.0 Update 4 corrige une RCE unique mais est classé Priorité 1 (niveau d’urgence maximal dans l’échelle d’Adobe). Cela suggère que, bien que la faille ColdFusion (serveur) ne soit pas publique ni exploitée, les administrateurs doivent l’appliquer rapidement compte tenu de l’historique des exploits ColdFusion. Les autres bulletins (Dreamweaver, InDesign, etc.) sont de Priorité 3 (déploiement moins urgent), ce qui signifie qu’aucune exploitation active n’est connue et que ces produits sont moins exposés. Adobe signale qu’aucune des failles de janvier n’était connue publiquement ni sous attaque active au moment de la publication. Malgré tout, la présence de multiples RCE critiques dans des logiciels largement utilisés justifie de les corriger dans le cadre du cycle normal de mise à jour. Par exemple, Adobe Illustrator a reçu un correctif pour 2 CVE (un critique et un important), Adobe Dreamweaver pour 5 CVE critiques, etc. Ces vulnérabilités, si elles étaient exploitées, pourraient survenir via l’ouverture de fichiers conçus pour exploiter des débordements de tampon ou autres failles dans les moteurs de rendu de ces applications.
Fortinet.
Le 13 janvier 2026, Fortinet a publié des avis de sécurité pour plusieurs de ses produits, en particulier : FortiSIEM, FortiOS/FortiSwitchManager, et FortiFone. Au moins six vulnérabilités ont été corrigées, dont deux critiques. La plus sévère est CVE-2025-64155 (CVSS 9.4), un problème d’injection de commande système dans FortiSIEM. Cette faille permet à un attaquant non authentifié d’exécuter des commandes arbitraires sur le serveur FortiSIEM en envoyant des requêtes TCP spécialement forgées vers le port du service (phMonitor, port 7900). Fortinet précise que seules les nœuds Super et Worker de FortiSIEM sont affectés (pas les Collectors) et recommande, en attendant le patch, de restreindre l’accès à ce port. Les versions corrigées de FortiSIEM sont 7.1.9, 7.2.7, 7.3.5, 7.4.1. L’autre faille critique est CVE-2025-47855 (CVSS 9.3) qui touche les appliances FortiFone. Il s’agit d’une vulnérabilité sur l’interface web de FortiFone permettant, sans authentification, de récupérer la configuration de l’appareil via des requêtes HTTP/HTTPS spécialement conçues. La configuration pouvant contenir des informations sensibles (comptes SIP, etc.), sa fuite est critique. FortiFone a été mis à jour en versions 3.0.24 et 7.0.2 pour corriger ce problème. En outre, Fortinet a corrigé CVE-2025-25249 (CVSS 7.4) – un débordement de tampon dans le démon cw_acd utilisé par FortiOS et FortiSwitchManager. Exploitable à distance sans authentification (via des paquets spécialement formés), ce bug peut mener à une exécution de code ou de commandes à distance sur les équipements FortiOS/FortiSwitchManager. Des patches sont disponibles dans FortiOS 7.0.18, 7.2.12, 7.4.9, 7.6.4 (et seront intégrés dans 6.4.17) ainsi que FortiSwitchManager 7.0.6, 7.2.7. Aucune mention d’exploitation active de ces failles n’est faite publiquement, mais l’existence d’un code d’exploitation publié pour la faille FortiSIEM a été rapportée peu après la divulgation. Les utilisateurs de produits Fortinet devraient appliquer ces mises à jour au plus vite, étant donné la fréquence des attaques ciblant les équipements réseau exposés.
SAP.
L’éditeur allemand SAP a tenu son Patch Day mensuel le 13 janvier 2026. 17 nouvelles notes de sécurité ont été publiées, dont 4 critiques. La plus grave est CVE-2026-0501 (CVSS 9.9), une vulnérabilité d’injection SQL dans un module de SAP S/4HANA. Découverte par la société Onapsis, elle réside dans un module accessible via RFC (Remote Function Call) utilisant l’ADBC (ABAP Database Connectivity) pour exécuter des instructions SQL natives. Un attaquant, même avec des privilèges modestes mais l’accès à cette fonction, peut fournir une entrée malveillante contenant des requêtes SQL arbitraires – ce qui permet en cas de succès de compromettre entièrement la base de données SAP (lecture/modification de données sensibles, etc.). Autre faille critique : CVE-2026-0500 (CVSS 9.6), une vulnérabilité d’exécution de code à distance affectant SAP Wily Introscope Enterprise Manager. Cette application de supervision expose un service permettant de charger des fichiers JNLP (Java Network Launch Protocol). Un attaquant non authentifié peut forcer le serveur à ouvrir un fichier JNLP malveillant via une URL, ce qui entraîne l’exécution de code arbitraire sur le serveur Introscope sous l’identité du service, compromettant confidentialité, intégrité et disponibilité de l’application. SAP a également corrigé CVE-2026-0498 (CVSS 9.1), une vulnérabilité de code injection dans S/4HANA. Celle-ci permet à un attaquant avec privilèges administrateur dans SAP de modifier le code source de programmes ABAP existants sans contrôle d’authentification suffisant – en clair, un admin SAP malveillant pourrait injecter du code OS arbitraire via la plateforme applicative (ce scénario cible probablement les environnements où un compte SAP administrateur aurait été compromis et utiliserait cette faille pour escalader au système sous-jacent). Dans le même registre, CVE-2026-0491 (CVSS 9.1) est une faille de code injection dans le composant Landscape Transformation (DMIS) de SAP, due au même module vulnérable que CVE-2026-0498, livré dans un composant séparé. Bien que ces deux dernières requièrent des privilèges élevés pour être exploitées, elles pourraient permettre des abus internes (un administrateur malintentionné ou compte SAP compromis faisant une persistance furtive). Aucune de ces failles SAP n’est signalée comme exploitée activement, mais étant donné la valeur des systèmes SAP, les entreprises doivent les appliquer promptement. Onapsis souligne que l’année 2025 avait été particulièrement chargée en vulnérabilités SAP, et 2026 semble suivre la même tendance avec dès janvier des correctifs critiques dans les systèmes ERP centraux.
VMware.
VMware n’a pas émis de bulletin de sécurité spécifique en janvier 2026 en coordination avec Patch Tuesday, toutefois une information importante plane sur l’écosystème : la découverte fin 2025 de plusieurs zero-days critiques dans VMware ESXi, Workstation et Fusion exploités par des attaquants sophistiqués. Surnommé ESXicape, ce lot comprend CVE-2025-22224 (CVSS 9.3), CVE-2025-22225 (CVSS 8.2), et CVE-2025-22226 (CVSS 7.1). Ces failles, divulguées par VMware/Broadcom en mars 2025, permettent à un attaquant ayant des privilèges admin sur une VM d’exploiter l’hyperviseur : fuite de mémoire du processus VMX et surtout exécution de code en tant que processus VMX (hyperviseur), menant à une évasion complète de la sandbox virtuelle. Des groupes APT auraient utilisé ces exploits en combinaison (fuite d’info via HGFS, corruption mémoire via VMCI, puis exécution arbitraire) pour obtenir le contrôle de l’hyperviseur à partir d’une VM compromise. CISA a ajouté ces CVE au catalogue de vulnérabilités exploitées en mars 2025, confirmant des attaques actives. En janvier 2026, un rapport de Huntress a détaillé comment un acteur chinois a développé un kit d’exploitation sophistiqué pour ESXi, possiblement dès fin 2023, pour tirer parti de ces failles avant même leur correction. Enjeux : Bien que cela ne fasse pas l’objet d’un patch ce mois-ci (puisque des correctifs étaient déjà sortis en 2025), il est crucial que les organisations utilisant VMware ESXi/Workstation se soient assurées d’appliquer ces mises à jour de sécurité de 2025. Les vulnérabilités d’évasion de VM sont extrêmement critiques – un attaquant pouvant sauter d’une VM à l’hyperviseur compromet tout l’environnement virtualisé. Si ce n’est pas déjà fait, la supervision de l’adoption des patches de mars 2025 pour ESXi doit être une priorité pour les équipes SECOPs/Cloud.
(À noter : Oracle publiera son CPU (Critical Patch Update) trimestriel le 20 janvier 2026, ce qui apportera aussi de nombreux correctifs pour les produits Oracle, Java, etc., mais ces mises à jour sortant après Patch Tuesday ne sont pas détaillées ici.)
Tableau récapitulatif des CVE notables (Janvier 2026)
| CVE | Score CVSS | Composant (Produit) | Impact | Type de vulnérabilité | État d’exploitation |
|---|---|---|---|---|---|
| CVE-2026-20805 | 5.5 | Desktop Window Manager (Windows) | Divulgation d’information | Fuite mémoire (ALPC) | Exploitée (active) |
| CVE-2023-31096 | 7.8 | Pilote modem Agere (Windows) | Élévation de privilèges | Dépassement de buffer (pile) | Divulguée publiquement (pilote retiré) |
| CVE-2026-21265 | 6.4 | Secure Boot (UEFI Firmware) | Contournement de sécurité | Conception (certificat expirant) | Divulguée publiquement |
| CVE-2026-20952 | 8.4 | Microsoft Office (Outlook/Word) | Exécution de code à distance | Use-after-free | Non (Exploitation peu probable) |
| CVE-2026-20922 | 7.8 | Windows NTFS | Exécution de code à distance | Dépassement de tampon (heap) | Non (Exploitation probable) |
| CVE-2026-20822 | 7.8 | Windows Graphics Component | Élévation de privilèges | Use-after-free / Condition de course | Non (Priv. Escalade) |
| CVE-2026-20854 | 7.5 | LSASS (Windows) | Exécution de code à distance | Use-after-free (mémoire) | Non |
| CVE-2026-20876 | 6.7 | Windows VBS Enclave | Élévation de privilèges VTL2 | Dépassement de buffer (heap) | Non |
| CVE-2026-0891 | (8.1*) | Moteur navigateur (Firefox/Thunderbird) | Exécution de code arbitraire | Corruption mémoire | Suspectée exploitée |
| CVE-2026-0892 | (9.8*) | Moteur navigateur (Firefox/Thunderbird) | Exécution de code arbitraire | Corruption mémoire | Suspectée exploitée |
| CVE-2026-0628 | (7.8*) | WebView (Chrome/Chromium) | Contournement de politiques | Injection de code (XSS) | Non |
| CVE-2026-0501 | 9.9 | Module RFC (SAP S/4HANA) | Exécution de code (Système) | Injection SQL | Non |
| CVE-2026-0500 | 9.6 | Wily Introscope (SAP) | Exécution de code à distance | Chargement JNLP malveillant | Non |
| CVE-2025-64155 | 9.4 | FortiSIEM (Fortinet) | Exécution de commandes distante | Injection de commande OS | Non (exploit POC publié) |
| CVE-2025-47855 | 9.3 | FortiFone (Fortinet) | Fuite de configuration | Exposition de ressource (HTTP) | Non |
| CVE-2025-25249 | 7.4 | FortiOS/FortiSwitchManager | Exécution de code à distance | Dépassement de tampon (heap) | Non |
| CVE-2025-22224 | 9.3 | Hyperviseur ESXi (VMware) | Évasion de VM, Code hyperviseur | Corruption mémoire (VMCI) | Exploitée (APT) |
| CVE-2025-22225 | 8.2 | Hyperviseur ESXi (VMware) | Évasion de VM (écriture arbitraire) | Corruption mémoire (HGFS) | Exploitée (APT) |
| CVE-2025-22226 | 7.1 | Hyperviseur ESXi (VMware) | Fuite d’information (VMX mem) | Dépassement de tampon (lecture) | Exploitée (APT) |
(*): CVSS approximatif – Mozilla/Google n’ayant pas fourni de score, on indique à titre informatif l’estimation (CVE-2026-0891 ~8.1 High d’après sources tierces ; CVE-2026-0892 ~9.8 selon CISA;CVE-2026-0628 ~7.8 High).
Légende – Impact : RCE = exécution de code à distance ; EoP = élévation de privilèges ; SFB = Security Feature Bypass (contournement de fonction de sécurité).
État d’exploitation : Exploitée = faille exploitée activement “in the wild” ; Divulguée publiquement = informations techniques disponibles publiquement (proof-of-concept, code, etc.) avant le patch ; Suspectée exploitée = indices d’exploitation active non confirmée officiellement ; Non = aucune exploitation connue au moment de la publication du correctif.
Sources :
- https://krebsonsecurity.com/2026/01/patch-tuesday-january-2026-edition
- https://blog.talosintelligence.com/microsoft-patch-tuesday-january-2026
Podcast RadioCSIRT :
