概要
Microsoftは、2026年3月のPatch Tuesdayで、Windowsオペレーティングシステムと他のソフトウェアで少なくとも77の脆弱性を修正するセキュリティ更新プログラムを配布しました。
公開された脆弱性
2つの脆弱性が事前に公開されていました。
- CVE-2026-21262:SQL Server 2016以降のバージョンで特権を昇格させる可能性がある脆弱性。
- CVE-2026-26127:.NET上で動作するアプリケーションで、サービス再起動中に他の攻撃が可能となる可能性がある脆弱性。
重要な脆弱性
55%以上の脆弱性が特権昇格の脆弱性であり、その中でも特に重要な6つの脆弱性が報告されています。
- CVE-2026-24291:Windows Accessibility Infrastructureでの不適切な権限設定。
- CVE-2026-24294:SMBコンポーネントでの不適切な認証。
- CVE-2026-24289:メモリの破損とレース条件の脆弱性。
- CVE-2026-25187:Winlogonプロセスの脆弱性。
AIによる脆弱性発見
Microsoft Devices Pricing Programのコンポーネントで、AIエージェントXBOWによって発見された重要な脆弱性が報告されました。
この脆弱性は、ソースコードへのアクセスなしに9.8の評価を得た初めての脆弱性であり、AIによる脆弱性の発見が進化していることを示しています。
その他の更新プログラム
Microsoftは、ブラウザの脆弱性を修正するパッチを提供し、Windows Server 2022のパスワードレス認証技術Windows Hello for Businessの証明書更新問題を解決する緊急パッチも発行しました。
また、Adobeは80の脆弱性を修正する更新プログラムを発行し、Mozilla Firefoxも3つの高リスクの脆弱性を修正しました。
まとめ
MicrosoftのPatch Tuesdayは、セキュリティの重要な更新プログラムを提供し、組織が脆弱性を迅速に修正するための重要な機会となっています。
元記事: https://krebsonsecurity.com/2026/03/microsoft-patch-tuesday-march-2026-edition/