Microsoft Patch Tuesday: 83 záplat, dva veřejně známé zero-day
V březnovém Patch Tuesday Microsoft opravil 83 zranitelností. Oproti únoru, kdy bylo zveřejněno šest aktivně zneužívaných zero-day zranitelností, je letošní březen výrazně klidnější – žádná z opravených zranitelností nebyla v době vydání záplat aktivně využívána v útocích.
Dva zero-day označené jako veřejně známé před vydáním záplat jsou CVE-2026-21262 (eskalace oprávnění v SQL Serveru na úroveň SQLAdmin) a CVE-2026-26127 (zranitelnost odepření služby v .NET). U obou Microsoft hodnotí pravděpodobnost zneužití jako nízkou.
Za pozornost stojí dvě kritické RCE zranitelnosti v Microsoft Office – CVE-2026-26110 a CVE-2026-26113 (obě CVSS 8.4). Útok lze spustit přes podokno náhledu bez nutnosti otevřít soubor, útočník nepotřebuje žádná oprávnění ani interakci uživatele. Odborníci je proto považují za prioritní záplaty pro organizace, kde zaměstnanci otevírají dokumenty z externích zdrojů. Úspěšné zneužití by mohlo útočníkovi umožnit spuštění libovolného kódu a pohyb po síti.
Pozornost si zaslouží také dvě zranitelnosti v jádru Windows – CVE-2026-24289 a CVE-2026-26132 (obě CVSS 7.8), označené jako „Exploitation More Likely". Obě mohou vést k získání systémových oprávnění (SYSTEM) a jsou typickými nástroji útočníků po prvotním průniku.
Pro správce SharePoint Serveru jsou relevantní CVE-2026-26106 a CVE-2026-26114 (obě CVSS 8.8) – RCE zranitelnosti, které může zneužít autentizovaný útočník s oprávněním člena webu.
Další články
Microsoft Patch Tuesday: 83 záplat, dva veřejně známé zero-day
Útočníci zneužívají firewally FortiGate k průnikům do sítí a krádeži přihlašovacích údajů
