📅 Contexte
Article publié le 12 mai 2026 sur Krebs on Security, couvrant le Patch Tuesday de mai 2026. Il s’agit d’un tour d’horizon mensuel des correctifs de sécurité publiés par les principaux éditeurs logiciels.
🪟 Microsoft – 118 vulnérabilités corrigées
Microsoft publie des correctifs pour 118 vulnérabilités dans ses systèmes Windows et autres produits. C’est le premier Patch Tuesday depuis près de deux ans sans zero-day activement exploité ni vulnérabilité préalablement divulguée publiquement.
16 vulnérabilités sont classées critiques, dont trois particulièrement signalées par Rapid7 :
- CVE-2026-41089 : Débordement de tampon basé sur la pile (stack-based buffer overflow) dans Windows Netlogon, permettant l’obtention de privilèges SYSTEM sur un contrôleur de domaine. Aucun privilège ni interaction utilisateur requis, complexité d’attaque faible. Correctifs disponibles pour Windows Server 2012 et versions ultérieures.
- CVE-2026-41096 : RCE critique dans l’implémentation du client DNS Windows. Microsoft évalue l’exploitation comme moins probable.
- CVE-2026-41103 : Élévation de privilèges critique permettant à un attaquant non authentifié d’usurper l’identité d’un utilisateur existant via des identifiants forgés, contournant ainsi Entra ID. Microsoft estime l’exploitation plus probable.
🤖 Project Glasswing – Catalyseur des volumes records
L’augmentation significative des volumes de correctifs est attribuée à Project Glasswing, une capacité IA développée par Anthropic, décrite comme efficace pour détecter des vulnérabilités dans le code. Microsoft, Apple, Mozilla, Oracle et Google figurent parmi les participants à ce programme.
🍎 Apple – 52 vulnérabilités
Le 11 mai 2026, Apple a publié des mises à jour corrigeant au moins 52 vulnérabilités pour iOS, avec un rétroport jusqu’à l’iPhone 6s et iOS 15 (selon Chris Goettl, VP Product Management chez Ivanti).
🦊 Mozilla Firefox – 271 vulnérabilités dans Firefox 150
Mozilla a publié Firefox 150 le mois précédent, résolvant 271 vulnérabilités découvertes lors de l’évaluation Glasswing. Depuis cette version, Mozilla adopte un rythme hebdomadaire de mises à jour de sécurité, avec Firefox 150.0.3 publié le jour du Patch Tuesday (3 à 5 CVE par release).
🔴 Oracle – 450 vulnérabilités, passage au cycle mensuel
Oracle a corrigé au moins 450 failles dans sa dernière mise à jour trimestrielle, dont plus de 300 failles exploitables à distance sans authentification. Fin avril, Oracle a annoncé le passage à un cycle de mise à jour mensuel pour les problèmes de sécurité critiques.
🌐 Google Chrome – 127 vulnérabilités
Le 8 mai 2026, Google a déployé des mises à jour pour Chrome corrigeant 127 failles de sécurité (contre 30 le mois précédent). Les mises à jour sont téléchargées automatiquement mais nécessitent un redémarrage complet du navigateur.
📌 Nature de l’article
Article de presse spécialisée à vocation informative, synthétisant les publications de correctifs de sécurité du mois de mai 2026 pour les principaux éditeurs logiciels, avec mise en avant des vulnérabilités les plus critiques identifiées par Rapid7.
🧠 TTPs et IOCs détectés
TTP
- T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
- T1190 — Exploit Public-Facing Application (Initial Access)
- T1078 — Valid Accounts (Defense Evasion)
IOC
- CVEs :
CVE-2026-41089— NVD · CIRCL - CVEs :
CVE-2026-41096— NVD · CIRCL - CVEs :
CVE-2026-41103— NVD · CIRCL
🟢 Indice de vérification factuelle : 70/100 (haute)
- ✅ krebsonsecurity.com — source reconnue (liste interne) (20pts)
- ✅ 4910 chars — texte complet (fulltext extrait) (15pts)
- ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 3 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ 0/3 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/