Microsoft Patch Tuesday，2026年3月版

Source: Krebs on Security

Microsoft Corp. 今日推送安全更新，修复其 Windows 操作系统及其他软件中的至少 77 项漏洞。本月没有紧迫的“零日”缺陷（相较于二月的五个零日威胁），但和往常一样，部分补丁可能需要使用 Windows 的组织更快地关注。以下是本月 Patch Tuesday 的一些要点。

已公开披露的漏洞

• CVE‑2026‑21262 – SQL Server 2016 及更高版本中的特权提升漏洞。经过授权的攻击者可以通过网络提升为 sysadmin 权限。（CVSS v3 基础评分：8.8）
• CVE‑2026‑26127 – 运行在 .NET 上的应用程序中的漏洞。利用可能主要限于通过触发崩溃导致拒绝服务，在服务重启期间可能出现其他攻击。

Microsoft Office 远程代码执行缺陷

• CVE‑2026‑26113 – 通过在预览窗格中查看恶意邮件触发的远程代码执行。
• CVE‑2026‑26110 – 与上述相同类别的利用方式。

这两个都是关键的 Office 漏洞，仅需打开受损邮件即可被激活。

特权提升漏洞（本月 CVE 的 55%）

Tenable 的 Satnam Narang 指出，其中约有半打漏洞在各种 Windows 组件中被评为“更可能被利用”：

• CVE‑2026‑24291 – Windows 可访问性基础设施中的权限分配错误，导致 SYSTEM 访问权限（CVSS 7.8）
• CVE‑2026‑24294 – 核心 SMB 组件的身份验证不当（CVSS 7.8）
• CVE‑2026‑24289 – 高危内存损坏和竞争条件缺陷（CVSS 7.8）
• CVE‑2026‑25187 – 由 Google Project Zero 发现的 Winlogon 进程弱点（CVSS 7.8）

AI 发现的关键漏洞

Immersive 的首席网络安全工程师 Ben McCarthy 强调了 CVE‑2026‑21536，这是一项针对 Microsoft Devices Pricing Program 的关键远程代码执行漏洞。该问题由 XBOW——一款全自动 AI 渗透测试代理——识别，是首个获得官方 CVE 编号的 AI 生成 Windows 漏洞。

• Microsoft 已经修补了该缺陷，Windows 用户无需采取任何操作。
• 该漏洞的 CVSS 评分为 9.8，凸显了 AI 辅助漏洞研究日益增长的影响。

其他 Microsoft 补丁

• 解决了九个与浏览器相关的漏洞（未计入主要 Patch Tuesday 统计）。
• 3 月 2 日针对 Windows Server 2022 的带外紧急更新修复了影响无密码身份验证（Windows Hello for Business）的证书续订问题。

其他厂商更新

• Adobe 为包括 Acrobat 和 Adobe Commerce 在内的产品发布了针对 80 项漏洞（含关键问题）的更新。
• Mozilla Firefox 版本 148.0.2 修复了三个高危 CVE。

参考与进一步阅读

• 完整的 Microsoft Patch Tuesday 细分 – SANS Internet Storm Center:
• 持续的 Windows 更新新闻 – AskWoody: