2026-03-11 00:00
← VoltarA Microsoft Corp. lançou hoje atualizações de segurança para corrigir pelo menos 77 vulnerabilidades em seus sistemas operacionais Windows e outros softwares. Não há falhas urgentes de “dia zero” neste mês (em comparação com os cinco dias zero de fevereiro), mas, como sempre, alguns patches podem merecer atenção mais rápida das organizações que usam o Windows. Aqui estão alguns destaques do Patch Tuesday deste mês. Dois dos bugs corrigidos pela Microsoft hoje foram divulgados publicamente anteriormente. CVE-2026-21262 é um ponto fraco que permite que um invasor eleve seus privilégios no SQL Server 2016 e em edições posteriores. “Esta não é apenas uma vulnerabilidade de elevação de privilégio; o comunicado observa que um invasor autorizado pode elevar privilégios para administrador de sistema em uma rede”, disse Adam Barnett do Rapid7. "A pontuação básica do CVSS v3 de 8,8 está logo abaixo do limite de gravidade crítica, uma vez que são necessários privilégios de baixo nível.
Seria um defensor corajoso quem encolhesse os ombros e adiasse os patches para este." A outra falha divulgada publicamente é a CVE-2026-26127, uma vulnerabilidade em aplicativos executados em .NET. Barnett disse que o impacto imediato da exploração é provavelmente limitado à negação de serviço, desencadeando uma falha, com potencial para outros tipos de ataques durante a reinicialização do serviço. Dificilmente seria um Patch Tuesday adequado sem pelo menos uma exploração crítica do Microsoft Office, e...
A Microsoft Corp. lançou hoje atualizações de segurança para corrigir pelo menos 77 vulnerabilidades em seus sistemas operacionais Windows e outros softwares. Não há falhas urgentes de “dia zero” neste mês (em comparação com os cinco dias zero de fevereiro), mas, como sempre, alguns patches podem merecer atenção mais rápida das organizações que usam o Windows. Aqui estão alguns destaques do Patch Tuesday deste mês. Dois dos bugs corrigidos pela Microsoft hoje foram divulgados publicamente anteriormente. CVE-2026-21262 é um ponto fraco que permite que um invasor eleve seus privilégios no SQL Server 2016 e em edições posteriores. “Esta não é apenas uma vulnerabilidade de elevação de privilégio; o comunicado observa que um invasor autorizado pode elevar privilégios para administrador de sistema em uma rede”, disse Adam Barnett do Rapid7. "A pontuação básica do CVSS v3 de 8,8 está logo abaixo do limite de gravidade crítica, uma vez que são necessários privilégios de baixo nível.
Seria um defensor corajoso quem encolhesse os ombros e adiasse os patches para este." A outra falha divulgada publicamente é a CVE-2026-26127, uma vulnerabilidade em aplicativos executados em .NET. Barnett disse que o impacto imediato da exploração é provavelmente limitado à negação de serviço, desencadeando uma falha, com potencial para outros tipos de ataques durante a reinicialização do serviço. Dificilmente seria um Patch Tuesday adequado sem pelo menos uma exploração crítica do Microsoft Office, e este mês não decepciona. CVE-2026-26113 e CVE-2026-26110 são falhas de execução remota de código que podem ser acionadas apenas pela visualização de uma mensagem armadilhada no painel de visualização. Satnam Narang, da Tenable, observa que pouco mais da metade (55%) de todos os CVEs do Patch Tuesday deste mês são bugs de escalonamento de privilégios e, desses, meia dúzia foi classificada como “exploração mais provável” – no Windows Graphics Component, Windows Accessibility Infrastructure, Windows Kernel, Windows SMB Server e Winlogon. Isso inclui: –CVE-2026-24291: Atribuições de permissão incorretas na infraestrutura de acessibilidade do Windows para acessar o SYSTEM (CVSS 7.8) –CVE-2026-24294: Autenticação inadequada no componente principal SMB (CVSS 7.8) –CVE-2026-24289: Corrupção de memória de alta gravidade e falha de condição de corrida (CVSS 7.8) –CVE-2026-25187: Fraqueza do processo Winlogon descoberta pelo Google Project Zero (CVSS 7.8). Ben McCarthy, engenheiro-chefe de segurança cibernética da Immersive, chamou a atenção para CVE-2026-21536, um bug crítico de execução remota de código em um componente chamado Microsoft Devices Pricing Program. A Microsoft já resolveu o problema e corrigi-lo não requer nenhuma ação por parte dos usuários do Windows.
Mas McCarthy diz que é uma das primeiras vulnerabilidades identificadas por um agente de IA e reconhecida oficialmente com um CVE atribuído ao sistema operacional Windows. Foi descoberto pelo XBOW, um agente de teste de penetração de IA totalmente autônomo. O XBOW tem se classificado consistentemente no topo ou próximo ao topo da tabela de classificação de recompensas de bugs do Hacker One no ano passado. McCarthy disse que CVE-2026-21536 demonstra como os agentes de IA podem identificar vulnerabilidades críticas com classificação 9,8 sem acesso ao código-fonte. “Embora a Microsoft já tenha corrigido e mitigado a vulnerabilidade, isso destaca uma mudança em direção à descoberta de vulnerabilidades complexas orientada por IA em velocidade crescente”, disse McCarthy. “Este desenvolvimento sugere que a pesquisa de vulnerabilidades assistida por IA desempenhará um papel crescente no cenário de segurança.” A Microsoft forneceu anteriormente patches para resolver nove vulnerabilidades do navegador, que não estão incluídas na contagem do Patch Tuesday acima. Além disso, a Microsoft lançou uma atualização fora de banda (de emergência) crucial em 2 de março para o Windows Server 2022 para resolver um problema de renovação de certificado com a tecnologia de autenticação sem senha Windows Hello for Business. Separadamente, a Adobe enviou atualizações para corrigir 80 vulnerabilidades – algumas delas de gravidade crítica – em uma variedade de produtos, incluindo Acrobat e Adobe Commerce.
Mozilla Firefox v. 148.0.2 resolve três CVEs de alta gravidade. Para uma análise completa de todos os patches que a Microsoft lançou hoje, confira a postagem do Patch Tuesday do SANS Internet Storm Center. Administradores empresariais do Windows que desejam ficar por dentro de qualquer notícia sobre atualizações problemáticas, vale sempre a pena visitar AskWoody.com. Sinta-se à vontade para deixar um comentário abaixo se tiver algum problema ao aplicar os patches deste mês.