Мартенският Patch Tuesday донесе обемно обновление на сигурността, което засяга Windows, Office и облачните услуги на Microsoft. Добрата новина е, че нито една от уязвимостите не е била използвана в реални атаки към момента, въпреки че част от тях са критични и изискват незабавна инсталация на пачовете.
Общо 84 уязвимости са коригирани този месец, като осем от тях са класифицирани като критични. Следващият Patch Tuesday е насрочен за 14 април 2026 г.
Съдържание на статията
Корекции за Microsoft Office
Microsoft адресира 13 уязвимости в Office пакета, включително три критични.
Сред тях изпъква CVE‑2026‑26144 – XSS уязвимост в Excel, която позволява изтичане на данни чрез Copilot агент.
Две други уязвимости, CVE‑2026‑26110 и CVE‑2026‑26113 са от типа RCE (Remote Code Execution) и позволяват изпълнение на злонамерен код само чрез преглед на файл в preview прозореца, без да се отваря документът.
Останалите RCE проблеми в Excel и SharePoint не могат да бъдат задействани през preview функционалността, което ограничава риска, но не го елиминира.
Актуализации за Windows
Най-големият дял от 48 уязвимости засягат Windows 10, Windows 11 и Windows Server.
Интересното е, че Windows 10 продължава да фигурира в списъка, въпреки че официалната поддръжка приключи през октомври. Това контрастира с подхода към Windows 7, който не получаваше подобни корекции след ESU програмата.
PrintNightmare отново?
Уязвимостта CVE‑2026‑23669 в Windows Print Spooler напомня на печално известния PrintNightmare от 2021 г.
Тя позволява на атакуващ с повишени права да изпраща специално оформени мрежови съобщения и да изпълнява код дистанционно. Засега няма данни за реални атаки.
Допълнително:
- Три RCE уязвимости в RRAS получават CVSS между 8.0 и 8.8
- Четири EoP уязвимости в Winsock драйвъра са оценени между 7.0 и 7.8
Zero‑day уязвимости
Две уязвимости са били известни преди излизането на пачовете, макар и да не са използвани активно:
- CVE‑2026‑26127 – DoS проблем в .NET
- CVE‑2026‑21262 – EoP уязвимост в SQL Server (CVSS 8.8)
Корекции за Microsoft Edge
Последната актуализация за Edge (версия 145.0.3800.97) от 6 март включва поправки за 10 Chromium уязвимости.
Тъй като Google вече пусна Chrome/Chromium 146, очаква се и нов Edge ъпдейт до края на седмицата
