Microsoft a lansat marți actualizările de securitate Patch Tuesday din martie 2026, remediind 79 de vulnerabilități în Windows, Office, Azure și alte produse, inclusiv două vulnerabilități zero-day divulgate public care nu au fost încă exploatate în atacuri.
Actualizarea vine după un ciclu turbulent al lunii februarie în care Microsoft a corectat șase vulnerabilități zero-day exploatate activ și marchează a treia versiune de securitate majoră din 2026.
Două vulnerabilități zero-day și defecte critice în Office
Cele două vulnerabilități zero-day divulgate public sunt CVE-2026-21262, o defecțiune de escaladare a privilegiilor în SQL Server care ar putea permite unui utilizator autentificat să obțină privilegii sysadmin, și CVE-2026-26127, o vulnerabilitate de tip denial-of-service în .NET cauzată de o citire în afara limitelor care poate fi declanșată prin rețea fără autentificare. Microsoft a declarat că niciuna dintre aceste vulnerabilități nu este cunoscută ca fiind exploatată în natură.
Dintre cele 79 de corecții, trei sunt clasificate ca „Critice”. Două dintre acestea — CVE-2026-26110 și CVE-2026-26113 — sunt erori de execuție de cod la distanță în Microsoft Office care pot fi declanșate prin panoul de previzualizare, ceea ce înseamnă că utilizatorii nu trebuie să deschidă un fișier malițios pentru a fi afectați. Microsoft a îndemnat utilizatorii să prioritizeze actualizarea aplicațiilor Office.
O a treia vulnerabilitate notabilă este CVE-2026-26144, o vulnerabilitate de divulgare a informațiilor în Excel clasificată ca Critică. Conform Microsoft, un atacator care exploatează defecțiunea „ar putea determina modul Copilot Agent să exfiltreze date prin trafic de rețea neintenționat, permițând un atac de divulgare a informațiilor fără nicio interacțiune”. Vulnerabilitatea se adaugă unei liste tot mai mari de preocupări de securitate legate de asistenții bazați pe inteligență artificială integrați în software-ul de productivitate.
Ce include actualizările
Defalcarea completă a celor 79 de vulnerabilități cuprinde 46 de defecte de escaladare a privilegiilor, 18 erori de execuție de cod de la distanță, 10 probleme de divulgare a informațiilor, patru vulnerabilități de tip denial-of-service, patru defecte de falsificare și două ocoliri ale caracteristicilor de securitate, conform BleepingComputer. Numărul exclude nouă defecte Microsoft Edge și alte probleme din Mariner, Azure și servicii asociate care au fost remediate anterior în această lună.
Actualizările sunt acum disponibile pentru Windows 11 versiunile 25H2 și 24H2 prin KB5079473, și pentru versiunea 23H2 prin KB5078883. Utilizatorii Windows 10 înrolați în programul Extended Security Updates pot instala KB5078885. Toate cele trei actualizări extind, de asemenea, acoperirea pentru înlocuirile certificatelor Secure Boot înaintea termenului limită de expirare din iunie 2026.
Peisajul mai larg al actualizărilor
Actualizările pentru Windows 11 aduc mai multe îmbunătățiri non-securitate, inclusiv funcționalitatea System Monitor (Sysmon) integrată, Quick Machine Recovery pentru dispozitive Pro care nu sunt unite la domeniu și remedieri de fiabilitate pentru File Explorer. Microsoft a declarat că nu a identificat nicio problemă cunoscută cu actualizările din martie pentru Windows 10.
Pe lângă Microsoft, alți furnizori au lansat actualizări în această săptămână: Adobe a emis remedieri pentru Commerce, Illustrator și Acrobat Reader, în timp ce buletinul de securitate Android din martie al Google a abordat o vulnerabilitate zero-day exploatată activ într-o componentă de afișare Qualcomm.
Surse: