【安全资讯】微软2026年3月补丁星期二修复2个零日漏洞及79个安全缺陷

概要：

在数字化时代，软件安全漏洞是网络攻击的主要入口。微软于2026年3月的“补丁星期二”发布了重要安全更新，共修复了79个安全漏洞，其中包括2个已公开披露的零日漏洞。此次更新覆盖了从操作系统核心组件到Office办公套件在内的广泛产品，凸显了持续修补漏洞对于防范潜在网络威胁、保护全球企业和个人用户数据安全的重要性。

主要内容：

本次修复的两个零日漏洞分别是CVE-2026-21262 SQL Server权限提升漏洞和CVE-2026-26127 .NET拒绝服务漏洞。前者因SQL Server中不恰当的访问控制机制，允许经过授权的攻击者通过网络提升权限至SQLAdmin级别。后者则源于.NET框架中的越界读取问题，可被未经授权的攻击者利用发起网络拒绝服务攻击。尽管微软表示这两个漏洞尚未发现被利用，但其公开披露状态意味着攻击者可能已掌握相关信息，构成了迫在眉睫的威胁。

在众多修复的漏洞中，三个被标记为“严重”级别的漏洞尤为关键，其中两个是远程代码执行漏洞。特别值得注意的是，针对Microsoft Office的两个远程代码执行漏洞（CVE-2026-26110和CVE-2026-26113）可通过预览窗格触发，这意味着用户甚至无需打开文件就可能中招。此外，Microsoft Excel的信息披露漏洞CVE-2026-26144可能被滥用于通过Microsoft Copilot的代理模式外泄数据，实现“零点击”信息窃取，展示了攻击手法与AI辅助工具结合的新趋势。

从技术层面看，此次修复的漏洞类型多样，包括46个权限提升漏洞、18个远程代码执行漏洞和10个信息泄露漏洞等。攻击成功往往源于代码中的逻辑错误、边界条件检查不严或访问控制机制缺陷。例如，多个权限提升漏洞源于内存保护机制（mem_protect.c）中的整数溢出或逻辑错误，允许攻击者在无需用户交互的情况下本地提权。这些细节揭示了软件在复杂交互和边界情况下面临的安全挑战。

此次安全更新的影响范围极广，涉及全球依赖微软生态系统的政府、企业和个人用户。未能及时应用补丁的组织将面临数据泄露、系统被控、服务中断等重大风险。微软及Adobe、思科、谷歌等其他厂商同期发布的更新，共同构成了本月关键的安全防线，强调了在复杂供应链环境下协同、及时修补的极端重要性。