A Microsoft kiadta a 2026. márciusi Patch Tuesday biztonsági frissítéseit, amelyek 79 sérülékenységet javítanak a Windows ökoszisztémában és más vállalati termékekben.
A frissítések között:
- 2 nyilvánosságra hozott zero-day sérülékenység
- 3 kritikus hiba
- több tucat magas kockázatú sebezhetőség
található.
A Patch Tuesday a Microsoft havi biztonsági frissítési ciklusa, amely a világ egyik legfontosabb kiberbiztonsági karbantartási eseménye a rendszergazdák számára.
A sérülékenységek kategóriái
A márciusi frissítésben javított hibák a következő kategóriákba tartoznak:
- 2 Security Feature Bypass
- 4 Spoofing
- 4 Denial-of-Service
- 10 Information Disclosure
- 18 Remote Code Execution
- 46 Elevation of Privilege
A számok csak azokat a hibákat tartalmazzák, amelyeket közvetlenül a Microsoft javított ebben a frissítésben.
Más platformokon – például:
- Microsoft Edge
- Microsoft Azure
- CBL-Mariner
– korábban kiadott frissítések külön számítanak.
Két nyilvánosságra hozott zero-day sérülékenység
SQL Server jogosultság-emelési hiba
CVE-2026-21262
Ez a hiba a Microsoft SQL Server adatbázis rendszerét érinti.
A probléma oka:
- hibás hozzáférés-kezelés
Egy hitelesített támadó képes lehet:
- SQL admin jogosultság megszerzésére
- érzékeny adatok módosítására
- vállalati alkalmazások kompromittálására
A sérülékenységet Erland Sommarskog biztonsági kutató jelentette.
.NET szolgáltatásmegtagadási hiba
CVE-2026-26127
A második zero-day a .NET fejlesztői platformot érinti.
A hiba típusa:
out-of-bounds read
A támadó:
- hálózaton keresztül
- alkalmazások összeomlását idézheti elő
Ez nem ad közvetlen rendszerhozzáférést, de szolgáltatáskimaradást okozhat.
Microsoft Office távoli kódfuttatás
Két kritikus Remote Code Execution (RCE) sérülékenységet is javítottak a Microsoft Office csomagban.
Érintett CVE-k:
- CVE-2026-26110
- CVE-2026-26113
A különösen veszélyes rész:
👉 a támadás a preview panelen keresztül is működhet
Ez azt jelenti, hogy a felhasználónak nem kell megnyitnia a fájlt, elég az előnézet.
Ez jelentősen növeli a phishing támadások sikerességét.
Excel és Copilot adat-szivárgási kockázat
Egy új sérülékenység a Microsoft Excel alkalmazást érinti.
CVE-2026-26144
Ez az információszivárgási hiba kapcsolatban áll a Microsoft AI rendszerével:
Microsoft Copilot
A támadás során egy támadó manipulálhatja a hálózati viselkedést úgy, hogy:
- a Copilot agent mód
- érzékeny adatokat szivárogtasson ki
Ez akár zero-click adatlopási támadást is lehetővé tehet.
Miért kritikus a Patch Tuesday?
A Microsoft rendszerek világszerte az egyik legelterjedtebb IT infrastruktúrát alkotják.
Az új sérülékenységek gyorsan célponttá válhatnak:
- ransomware csoportok
- kiberbűnözők
- állami hackercsoportok
Miután a javítások megjelennek, a támadók gyakran reverse engineering segítségével exploitot fejlesztenek.
Ajánlások rendszergazdáknak
A biztonsági szakértők a következő lépéseket javasolják:
✔ azonnali patch telepítés
✔ tesztelés staging környezetben
✔ automatizált patch management használata
✔ sérülékenység monitorozás
A frissítések késleltetése növeli a támadási felületet.
AI integrációk új biztonsági kihívásai
A Copilothoz kapcsolódó sérülékenység rámutat egy új trend-re:
👉 az AI integrációk új támadási felületeket hoznak létre.
Ahogy az AI egyre mélyebben integrálódik a vállalati szoftverekbe, új típusú biztonsági kockázatok jelennek meg:
- adatkezelési problémák
- automatizált adat-hozzáférés
- AI-alapú workflow manipuláció
Következtetés
A 2026. márciusi Patch Tuesday frissítés:
- 79 sérülékenységet javít
- 2 zero-day hibát kezel
- több kritikus RCE és privilege escalation problémát old meg
A Microsoft rendszereket használó szervezetek számára a frissítés magas prioritású.
