详细内容或原文请订阅后点击阅览
2026 年 3 月星期二补丁修复了两个零日漏洞
本月,微软修复了 79 个安全漏洞,其中包括可能让攻击者提升权限或导致关键服务崩溃的错误。
来源:Malwarebytes Labs 博客Microsoft 在每月的第二个星期二(称为“补丁星期二”)发布重要的安全更新。本月的更新修复了 79 个 Microsoft CVE,其中包括两个零日漏洞。
微软将零日定义为“尚无官方补丁或安全更新可用的软件缺陷”。因此,由于补丁现已可用,这两个不再是零日漏洞。也没有理由相信他们曾经受到过积极的剥削。
但是让我们看看如果不安装更新可能会产生的后果。
被跟踪为 CVE-2026-21262 的漏洞(CVSS 评分为 8.8 分,满分 10 分)是 Microsoft SQL Server 中的一个错误,它可以让登录用户悄悄地攀爬权限阶梯,并有可能成为完整的数据库管理员 (sysadmin)。通过这种级别的控制,他们可以读取、更改或删除数据、创建新帐户以及篡改数据库配置或作业。 SQL Server 应该检查每个用户可以执行的操作,在这种情况下,它可能会被欺骗,授予比预期更多的权限。
一旦攻击者站稳脚跟,就不需要用户交互:利用精心设计的 SQL 请求滥用有缺陷的权限检查,就可以通过网络进行利用。在典型的现实场景中,此错误将是攻击链中的第二幕:首先以低权限进入,然后使用 CVE-2026-21262 悄悄地将自己提升为数据库之王并开始重写脚本。
CVE-2026-26127(CVSS 评分为 7.5 分(满分 10 分))是 Microsoft .NET 平台中的一个错误,可让攻击者远程崩溃 .NET 应用程序,从而有效地使它们离线一段时间。该缺陷存在于 Microsoft .NET 9.0 和 10.0 中,跨 Windows、macOS 和 Linux,存在于 .NET 运行时或库中,而不存在于特定应用程序中。换句话说,这是运行 .NET 代码的引擎中的一个错误,因此使用受影响的 .NET 版本创建的任何应用程序在修补之前都可能面临风险。
如何应用修复并检查您是否受到保护
1. 打开设置
2. 转到 Windows 更新