Microsoft Patch terça-feira, edição de março de 2026 – Krebs on Security

Microsoft Corp. hoje lançou atualizações de segurança para corrigir pelo menos 77 vulnerabilidades em seu Windows sistemas operacionais e outros softwares. Não há falhas urgentes de “dia zero” neste mês (em comparação com as cinco falhas de dia zero de fevereiro), mas, como sempre, alguns patches podem merecer atenção mais rápida das organizações que usam o Windows. Aqui estão alguns destaques do Patch Tuesday deste mês.

Dois dos bugs corrigidos pela Microsoft hoje foram divulgados publicamente anteriormente. CVE-2026-21262 é uma fraqueza que permite que um invasor eleve seus privilégios em Servidor SQL 2016 e edições posteriores.

“Esta não é apenas uma vulnerabilidade de elevação de privilégio; o comunicado observa que um invasor autorizado pode elevar privilégios para administrador de sistema em uma rede”, disse Rapid7. Adam Barnett disse. “A pontuação básica do CVSS v3 de 8,8 está logo abaixo do limite de gravidade crítica, uma vez que são necessários privilégios de baixo nível. Seria um defensor corajoso quem encolhesse os ombros e adiasse os patches para este.”

A outra falha divulgada publicamente é CVE-2026-26127uma vulnerabilidade em aplicativos executados em .LÍQUIDO. Barnett disse que o impacto imediato da exploração é provavelmente limitado à negação de serviço, desencadeando uma falha, com potencial para outros tipos de ataques durante a reinicialização do serviço.

Dificilmente seria uma Patch Tuesday adequada sem pelo menos uma crítica Microsoft Office explorar, e este mês não decepciona. CVE-2026-26113 e CVE-2026-26110 são falhas de execução remota de código que podem ser acionadas apenas pela visualização de uma mensagem armadilhada no painel de visualização.

Satnam Narang no Sustentável observa que pouco mais da metade (55%) de todos os CVEs do Patch Tuesday deste mês são bugs de escalonamento de privilégios e, desses, meia dúzia foi classificada como “exploração mais provável” – no Windows Graphics Component, na Infraestrutura de Acessibilidade do Windows, no Kernel do Windows, no Windows SMB Server e no Winlogon. Estes incluem:

–CVE-2026-24291: Atribuições de permissão incorretas na Infraestrutura de Acessibilidade do Windows para acessar SYSTEM (CVSS 7.8)
–CVE-2026-24294: Autenticação inadequada no componente SMB principal (CVSS 7.8)
–CVE-2026-24289: Corrupção de memória de alta gravidade e falha de condição de corrida (CVSS 7.8)
–CVE-2026-25187: Fraqueza do processo Winlogon descoberta pelo Google Project Zero (CVSS 7.8).

Ben McCarthyengenheiro-chefe de segurança cibernética da Imersivochamou a atenção para CVE-2026-21536um bug crítico de execução remota de código em um componente chamado Microsoft Devices Pricing Program. A Microsoft já resolveu o problema e corrigi-lo não requer nenhuma ação por parte dos usuários do Windows. Mas McCarthy diz que é uma das primeiras vulnerabilidades identificadas por um agente de IA e oficialmente reconhecida com um CVE atribuído ao sistema operacional Windows. Foi descoberto por X-BOWum agente de teste de penetração de IA totalmente autônomo.

O XBOW tem se classificado consistentemente no topo ou próximo ao topo da tabela de classificação de recompensas de bugs do Hacker One no ano passado. McCarthy disse que CVE-2026-21536 demonstra como os agentes de IA podem identificar vulnerabilidades críticas com classificação 9,8 sem acesso ao código-fonte.

“Embora a Microsoft já tenha corrigido e mitigado a vulnerabilidade, isso destaca uma mudança em direção à descoberta de vulnerabilidades complexas orientada por IA em velocidade crescente”, disse McCarthy. “Este desenvolvimento sugere que a pesquisa de vulnerabilidades assistida por IA desempenhará um papel crescente no cenário de segurança.”

A Microsoft forneceu anteriormente patches para resolver nove vulnerabilidades do navegador, que não estão incluídas na contagem do Patch Tuesday acima. Além disso, a Microsoft emitiu um aviso crucial fora de banda (emergência) atualização em 2 de março para Servidor Windows 2022 para resolver um problema de renovação de certificado com a tecnologia de autenticação sem senha Windows Hello for Business.

Separadamente, Adobe enviou atualizações para corrigir 80 vulnerabilidades – algumas delas críticas em gravidade – em uma variedade de produtosincluindo Acrobata e Adobe Comércio. Mozilla Firefox v. 148.0.2 resolve três CVEs de alta gravidade.

Para uma análise completa de todos os patches que a Microsoft lançou hoje, confira o SANS Internet Storm Center’s Postagem de terça-feira do patch. Administradores empresariais do Windows que desejam ficar atualizados sobre quaisquer notícias sobre atualizações problemáticas, AskWoody.com vale sempre a pena uma visita. Sinta-se à vontade para deixar um comentário abaixo se tiver algum problema ao aplicar os patches deste mês.