マイクロソフトは本日、Windowsオペレーティングシステムおよびその他のソフトウェアにおける少なくとも77の脆弱性を修正するセキュリティアップデートをリリースしました。今月は緊急の「ゼロデイ」脆弱性はありません(2月の5つのゼロデイと比較して)が、いつものように、Windowsを使用している組織からの迅速な対応が必要な修正もあります。今月のパッチチューズデーのハイライトをいくつかご紹介します。
画像: Shutterstock、@nwz。
マイクロソフトが本日修正したバグの2つは以前に公開されていました。CVE-2026-21262は、攻撃者がSQL Server 2016以降のエディションで特権を昇格させることができる脆弱性です。
「これは単なる特権昇格の脆弱性ではありません。アドバイザリによると、認可された攻撃者はネットワーク上でsysadminの特権に昇格させることができます」とRapid7のAdam Barnett氏は述べています。「CVSS v3ベーススコアは8.8で、低レベルの特権が必要なため、致命的な重大度の閾値のすぐ下です。このパッチを無視して延期する決断をした防御者は勇敢だと言えるでしょう。」
もう1つの公開された脆弱性はCVE-2026-26127で、.NET上で実行されるアプリケーションの脆弱性です。Barnett氏によると、悪用の直接的な影響はクラッシュをトリガーによるサービス拒否に限定される可能性が高く、サービス再起動中に他のタイプの攻撃の可能性があります。
適切なパッチチューズデーには、少なくとも1つの重大なマイクロソフト オフィスエクスプロイトがなければなりません。今月もそれに応えています。CVE-2026-26113およびCVE-2026-26110は、プレビューペインでトラップされたメッセージを表示するだけで、トリガーできるリモートコード実行の脆弱性です。
–CVE-2026-24291: Windows Accessibility Infrastructure内の不正な権限割り当てでSYSTEMに到達(CVSS 7.8)
–CVE-2026-24294: コアSMBコンポーネント内の不適切な認証(CVSS 7.8)
–CVE-2026-24289: 高重大度のメモリ破損とレース条件のフロー(CVSS 7.8)
–CVE-2026-25187: Google Project Zeroによって発見されたWinlogonプロセスの脆弱性(CVSS 7.8)。
ImmersiveのシニアサイバーセキュリティエンジニアであるBen McCarthyは、Microsoft Devices Pricing Programという名前のコンポーネント内の重大なリモートコード実行バグであるCVE-2026-21536に注目しました。マイクロソフトはすでに彼ら側で問題を解決しており、修正はWindows ユーザー側での措置を必要としません。しかし、McCarthy氏によると、AIエージェントによって識別された最初の脆弱性の1つであり、Windowsオペレーティングシステムに帰属するCVEとして公式に認識されたことは注目に値します。これは、完全自律型のAI侵透テストエージェントであるXBOWによって発見されました。
XBOWは過去1年間、Hacker Oneバグバウンティーリーダーボードの上位またはその近くでランク付けされています。McCarthy氏によると、CVE-2026-21536は、AIエージェントがソースコードへのアクセスなしに、9.8の重大度の脆弱性を識別できることを示しています。
「マイクロソフトはすでに脆弱性にパッチを適用し、軽減していますが、それは複雑な脆弱性のAI駆動型発見がますます高速化されている方向への転換を強調しています」とMcCarthy氏は述べています。「この展開は、AI支援型脆弱性研究がセキュリティランドスケープでますます重要な役割を果たすことを示唆しています。」
マイクロソフトは以前、9つのブラウザ脆弱性に対処するためのパッチを提供しており、上記のパッチチューズデーの数には含まれていません。さらに、マイクロソフトはWindows Server 2022について、Windows Hello for Businessのパスワードレス認証技術の証明書更新問題に対処するために、3月2日に重要なアウト・オブ・バンド(緊急)アップデートをリリースしました。
別途、AdobeはAcrobatおよびAdobe Commerceを含む様々な製品において、80の脆弱性を修正するためのアップデートをリリースしました。その一部は重大度が高いものです。Mozilla Firefox v. 148.0.2は、3つの高重大度のCVEを解決しています。
マイクロソフトが本日リリースしたすべてのパッチの完全な内訳については、SANS Internet Storm Centerのパッチチューズデーポストを確認してください。問題のあるアップデートについてのニュースを常に把握したいWindows企業管理者の場合、AskWoody.comは常に訪問する価値があります。このMonthのパッチを適用する際に問題が発生した場合は、以下にコメントを残してください。
翻訳元: https://krebsonsecurity.com/2026/03/microsoft-patch-tuesday-march-2026-edition/
