A Microsoft lançou a sua habitual atualização de segurança "Patch Tuesday" referente ao mês de março de 2026. Segundo os dados partilhados pelo BleepingComputer, esta nova vaga de correções vem resolver um total de 79 vulnerabilidades presentes nos vários serviços e aplicações da empresa, englobando duas falhas do tipo zero-day que já eram conhecidas do público e três falhas classificadas como críticas.
Correções críticas no Office e Copilot em destaque
Dentro do pacote de correções disponibilizado este mês, as atenções viram-se para os três problemas de nível crítico. Duas destas vulnerabilidades (CVE-2026-26110 e CVE-2026-26113) afetam diretamente o pacote Office e permitem a execução remota de código. O grande perigo destas falhas reside no facto de poderem ser exploradas através do simples painel de pré-visualização de documentos, pelo que é altamente aconselhada a atualização imediata das aplicações.
A terceira falha crítica (CVE-2026-26144) tem o Excel como alvo e está focada na divulgação indevida de informações. A situação torna-se mais alarmante por envolver o modo Agente do Copilot, permitindo a extração de dados através de um ataque sem necessidade de qualquer clique ou interação por parte da vítima.
As correções abrangem também atualizações cumulativas para o Windows 11 (KB5079473 e KB5078883) e a continuação do suporte com o pacote estendido KB5078885 para a versão 10 do sistema operativo. No panorama geral, o boletim divide-se em 46 correções para elevação de privilégio, 18 para execução remota de código, 10 associadas à divulgação de dados, quatro relacionadas com falsificação (spoofing), quatro para negação de serviço (DoS) e ainda duas para contorno de mecanismos de segurança.
Detalhes sobre os dois zero-days corrigidos
Apesar de a tecnológica ter confirmado a presença de duas vulnerabilidades zero-day previamente divulgadas de forma pública, nenhuma delas parece ter sido ativamente explorada em ciberataques até à data da disponibilização desta correção.
A primeira falha (CVE-2026-21262) incide sobre uma elevação de privilégios no SQL Server. Devido a uma limitação inadequada no controlo de acessos, um atacante já presente na rede poderia elevar as suas permissões para obter direitos de administrador no sistema. Esta falha foi comunicada pelo investigador Erland Sommarskog.
A segunda vulnerabilidade zero-day (CVE-2026-26127) afeta o .NET e abre a porta a um ataque de negação de serviço originado por uma leitura fora dos limites de memória. A anomalia foi reportada por um investigador que preferiu manter o anonimato.
Outras marcas acompanham as atualizações de março
Março de 2026 tem sido um mês bastante ativo no que diz respeito a cibersegurança e não foi apenas a empresa de Redmond a libertar correções. A Google revelou o seu mais recente boletim de segurança para o sistema Android, que incluiu a correção para uma vulnerabilidade zero-day num componente da Qualcomm, a qual já estava a ser explorada ativamente por piratas informáticos.
Paralelamente, gigantes da indústria como a Adobe libertaram atualizações de segurança cruciais para softwares como o Acrobat Reader, Illustrator e Premiere Pro. De igual forma, empresas focadas em redes e infraestruturas, como a Cisco, Fortinet, HPE e SAP, também aproveitaram a ocasião para selar dezenas de vulnerabilidades espalhadas pelos seus ecossistemas empresariais.
Nenhum comentário
Seja o primeiro!