Patch Tuesday tháng 3/2026: Vá 79 lỗ hổng trong đó 2 lỗi zero-day đã bị công khai

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.671 bài viết
Patch Tuesday tháng 3/2026: Vá 79 lỗ hổng trong đó 2 lỗi zero-day đã bị công khai
WhiteHat Team
Microsoft vừa phát hành Patch Tuesday tháng 3/2026 để xử lý 79 lỗ hổng trong nhiều sản phẩm của hãng, bao gồm 2 lỗ hổng zero-day đã bị công khai trước khi có bản vá chính thức.
1773210664569.png

Trong số các lỗ hổng được xử lý lần này có 3 lỗ hổng được xếp hạng nghiêm trọng bao gồm 2 lỗ hổng thực thi mã từ xa và 1 lỗ hổng rò rỉ thông tin.

Phân loại các lỗ hổng được vá trong tháng gồm:​
  • 46 lỗ hổng leo thang đặc quyền​
  • 18 lỗ hổng thực thi mã từ xa​
  • 10 lỗ hổng rò rỉ thông tin​
  • 4 lỗ hổng từ chối dịch vụ​
  • 4 lỗ hổng giả mạo​
  • 2 lỗ hổng bỏ qua cơ chế bảo mật​
Danh sách trên không bao gồm 9 lỗ hổng Microsoft Edge cũng như các lỗi trong Mariner, Azure, Payment Orchestrator Service và Microsoft Devices Pricing Program đã được Microsoft vá trước đó trong tháng.​

Hai lỗ hổng zero-day đã bị công khai​

Microsoft cho biết hai zero-day trong bản vá tháng này đã được công bố công khai nhưng chưa ghi nhận bị khai thác. Cụ thể:​
  • CVE-2026-21262: Lỗ hổng trong Microsoft SQL Server cho phép kẻ tấn công đã được xác thực leo thang đặc quyền lên mức SQLAdmin qua mạng do cơ chế kiểm soát truy cập chưa chặt chẽ.​
  • CVE-2026-26127: Đây là lỗ hổng out-of-bounds read trong nền tảng .NET có thể cho phép kẻ tấn công gây từ chối dịch vụ từ xa (DoS).​

Lỗ hổng Microsoft Office có thể bị khai thác qua Preview Pane​

Microsoft cũng vá hai lỗ hổng thực thi mã từ xa trong Microsoft Office là CVE-2026-26110 và CVE-2026-26113. Các lỗ hổng này có thể bị khai thác thông qua cơ chế Preview Pane, nghĩa là việc xem trước tệp độc hại cũng có thể kích hoạt khai thác.

Ngoài ra, lỗ hổng CVE-2026-26144 trong Microsoft Excel được chú ý vì có thể dẫn tới rò rỉ dữ liệu thông qua Microsoft Copilot. Nếu bị khai thác, kẻ tấn công có thể khiến Copilot Agent mode gửi dữ liệu ra ngoài hệ thống thông qua các kết nối mạng ngoài dự kiến, dẫn đến kịch bản tấn công rò rỉ thông tin dạng zero-click.

Người dùng và doanh nghiệp cập nhật bản vá bảo mật mới nhất cho Windows, SQL Server và Microsoft Office để giảm thiểu nguy cơ bị khai thác. Danh sách các lỗ hổng cần vá xem chi tiết tại đây.
Theo Bleeping Computer
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • APT28 bị nghi đứng sau chiến dịch khai thác zero-day MSHTML trước Patch Tuesday
  • Gần 60 lỗ hổng "chào sân" Patch Tuesday tháng 2/2026 của Microsoft
  • Patch Tuesday tháng 1/2026: Microsoft vá 114 lỗ hổng, 3 zero-day đã bị khai thác
  • Patch Tuesday cuối 2025: Microsoft vá 56 lỗi, 3 zero-day bị khai thác
  • Microsoft Patch Tuesday tháng 11/2025: Vá 63 lỗi bảo mật, xuất hiện zero-day nguy hiểm
  • Microsoft Patch Tuesday tháng 10/2025: Vá 172 lỗ hổng (6 zero-day)
    • Thẻ
    lỗ hổng .net cve-2026-26127 lỗ hổng microsoft office preview pane microsoft vá 79 lỗ hổng patch tuesday march 2026 rò rỉ dữ liệu microsoft copilot zero-day sql server cve-2026-21262
    Bên trên