Microsoft、3月のパッチマンデーで84の脆弱性を修正、その中には2つの公開ゼロデイも

概要

Microsoftは、3月のパッチマンデーで84の新しいセキュリティ脆弱性を修正しました。これらの脆弱性は、さまざまなソフトウェアコンポーネントに影響を及けるもので、その中には2つの公開ゼロデイが含まれています。

修正された脆弱性のうち、8つが深刻度「Critical」、76つが「Important」と評価されています。修正された脆弱性の46つは権限昇格に関連しており、18つはリモートコード実行、10つは情報漏洩、4つはなりすまし、4つはサービス拒否、2つはセキュリティ機能バイパスの脆弱性です。

2つの公開ゼロデイは、CVE-2026-26127（CVSSスコア：7.5）とCVE-2026-21262（CVSSスコア：8.8）です。前者は.NETのサービス拒否脆弱性、後者はSQL Serverの権限昇格脆弱性です。

最も深刻な脆弱性は、CVSSスコア9.8のCVE-2026-21536で、Microsoftデバイス価格プログラムにおけるリモートコード実行脆弱性です。この脆弱性は完全に修正されており、ユーザーからのアクションは不要です。

AIを活用した自動脆弱性発見プラットフォームXBOWがこの脆弱性を発見し報告したとされています。

Winlogonの権限昇格脆弱性（CVE-2026-25187（CVSSスコア：7.8））は、不適切なリンク解決を悪用してSYSTEM権限を取得する可能性があります。

CVE-2026-26118（CVSSスコア：8.8）：Azure Model Context Protocol (MCP) サーバーにおけるサーバーサイドリクエストフォージェリ脆弱性。
CVE-2026-26144（CVSSスコア：7.5）：Excelにおける情報漏洩脆弱性。

Microsoftは、Windows Autopatchのデフォルトの動作を変更し、ホットパッチセキュリティ更新を有効にすることで、デバイスをより速やかに保護するための措置を講じています。

元記事: https://thehackernews.com/2026/03/microsoft-patches-84-flaws-in-march.html