Nesta terça-feira, 10 de março de 2026, a Microsoft lançou seu Patch Tuesday com atualizações de segurança para corrigir 79 vulnerabilidades, incluindo duas zero-days já divulgadas publicamente.
Entre as falhas corrigidas, três foram classificadas como "Critical".
Dessas, duas permitem execução remota de código (remote code execution) e uma está relacionada a vazamento de informações (information disclosure).
A distribuição das vulnerabilidades por categoria é a seguinte:
- 46 vulnerabilidades de elevação de privilégio
- 2 vulnerabilidades de bypass em recursos de segurança
- 18 vulnerabilidades de execução remota de código
- 10 vulnerabilidades de divulgação de informações
- 4 vulnerabilidades de negação de serviço (DoS)
- 4 vulnerabilidades de spoofing
É importante destacar que, ao reportar as atualizações do Patch Tuesday, contabilizamos apenas os patches liberados hoje pela Microsoft.
Portanto, esses números não incluem outras correções divulgadas anteriormente no mês, como as 9 vulnerabilidades do Microsoft Edge, além de correções relacionadas ao Mariner, Payment Orchestrator Service, Azure e Microsoft Devices Pricing Program.
Para quem busca informações sobre atualizações não relacionadas à segurança, há artigos dedicados às atualizações cumulativas do Windows 11 KB5079473 e KB5078883, bem como à atualização de segurança estendida do Windows 10 KB5078885.
Entre as principais correções deste mês, destacam-se as duas zero-days publicamente divulgadas, embora nenhuma delas tenha sido reportada como explorada em ataques até o momento.
A Microsoft define zero-day como uma falha que já teve divulgação pública ou exploração ativa, sem patch oficial disponível até então.
Confira as zero-days corrigidas nesta rodada:
-
CVE-2026-21262
: vulnerabilidade de elevação de privilégio no SQL Server
Trata-se de uma falha no controle de acesso do SQL Server que permite a um atacante autorizado elevar privilégios na rede, obtendo permissões administrativas (SQLAdmin).
Esta vulnerabilidade foi descoberta por Erland Sommarskog.
-
CVE-2026-26127
: vulnerabilidade de negação de serviço (.NET)
Uma falha de leitura fora dos limites (out-of-bounds read) na plataforma .NET que permite a um atacante não autorizado causar negação de serviço remotamente.
Este bug foi reportado por um pesquisador anônimo.
Além disso, foram corrigidos dois bugs de execução remota de código no Microsoft Office (
CVE-2026-26110
e
CVE-2026-26113
), exploráveis via painel de visualização (preview pane).
Usuários são aconselhados a atualizar o software com prioridade.
Merece atenção especial a vulnerabilidade no Microsoft Excel (
CVE-2026-26144
), que pode ser usada para vazamento de dados por meio do Microsoft Copilot.
Segundo a Microsoft, um invasor, ao explorar essa falha, poderia forçar o modo Copilot Agent a enviar informações sigilosas pela rede sem qualquer interação do usuário, caracterizando um ataque de exfiltração com zero cliques.
Outros fornecedores também liberaram atualizações ou alertas de segurança em março de 2026:
- Adobe atualizou produtos como Commerce, Illustrator, Substance 3D Painter, Acrobat Reader e Premiere Pro, sem vulnerabilidades reportadas como exploradas.
- Cisco corrigiu múltiplos produtos.
- Fortinet liberou patches para FortiOS, FortiPAM e FortiProxy.
- Google publicou o boletim de segurança do Android, com correção para um zero-day ativamente explorado em um componente de display Qualcomm.
- HPE solucionou várias falhas no AOS-CX da linha Aruba Networking.
- SAP lançou suas atualizações de março, incluindo correções para duas vulnerabilidades críticas.
Atualização em 10/03/2026: adicionadas informações sobre a exploração das vulnerabilidades
CVE-2026-21533
e
CVE-2026-21525
.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...