• SHS Block 06 - Asa Sul, Brasília - DF, 70316-102
Icon-facebook Twitter Instagram Youtube

JORNAL CIDADE EM FOCO

Informativo Semanal Gratuito

Baixar edição da semana

Para março, Patch Tuesday oferece correções para 83 vulnerabilidades

  • CVE-2026-24289, CVE-2026-26132 — Kernel do Windows — Elevação de privilégio (CVSS 7.8); corrupção de memória e condições de uso após liberação, permitindo o escalonamento do SYSTEM a partir de uma sessão local autenticada.
  • CVE-2026-25187Login — Elevação de privilégio (CVSS 7.8); descoberto por Projeto Zero do Google. Dada a posição do Winlogon no caminho de autenticação, este é um alvo de alto valor para pós-exploração.
  • CVE-2026-24294 — Windows SMB Server — Elevação de privilégio (CVSS 7.8); falha de autenticação permitindo escalonamento de privilégios em sistemas com SMB habilitado.
  • CVE-2026-24291 — Infraestrutura de acessibilidade do Windows (ATBroker.exe) — Elevação de privilégio (CVSS 7.8).
  • CVE-2026-23668 — Componente Gráfico do Windows — Elevação de privilégio (CVSS 7.0); condição de corrida.

Sem vulnerabilidades exploradas ativamente, sem classificações críticas e sem problemas divulgados publicamente, este é o mês mais silencioso do ano para Windows até agora. Adicione essas atualizações ao seu cronograma de implantação padrão. (É incrível, né?)

Microsoft Office

O Microsoft Office obteve 12 correções de segurança, incluindo três delas críticas. Nenhum deles é ativamente explorado ou divulgado publicamente e nenhum é sinalizado como “Exploração mais provável” – mas a superfície de ataque merece atenção.

  • CVE-2026-26113, CVE-2026-26110 — Microsoft Office — Execução remota de código (CVSS 8.4, crítico). Ambos confirmam o Painel de Visualização como um vetor de ataque – simplesmente visualizar um arquivo malicioso no Outlook ou no File Explorer é suficiente para acionar a execução sem interação adicional do usuário.
  • CVE-2026-26144 — Microsoft Excel — Divulgação de informações (CVSS 7.5, crítico). Esta é uma vulnerabilidade nova: um caminho de exfiltração de dados sem clique, acessível pela rede, através de Co-piloto Modo agente. Nenhuma interação do usuário é necessária. É incomum ver uma divulgação de informações classificada como crítica, refletindo a sensibilidade dos dados expostos.

Os dois RCEs do painel de visualização (CVE-2026-26113, CVE-2026-26110) torne esta uma versão “Patch Now” para o Office. As organizações que não podem implantar imediatamente devem considerar desabilitar temporariamente o Painel de Visualização no Outlook e no File Explorer.

Microsoft SQL Server e Exchange

O SQL Server tem três vulnerabilidades de elevação de privilégio, todas CVSS 8.8, todas permitindo que usuários autenticados escalem para sysadmin pela rede:

  • CVE-2026-21262 — Controle de acesso inadequado. Divulgado publicamente (dia zero). Afeta o SQL Server 2016 SP3 até 2025.
  • CVE-2026-26115 — Validação de entrada inadequada. Afeta o SQL Server 2016 SP3 até 2025.
  • CVE-2026-26116 — Injeção SQL. Afeta apenas o SQL Server 2025.

CVE-2026-21262 é um dos dois dias zero deste mês. Embora classificado como “Exploração menos provável”, a divulgação pública e a ampla cobertura de versões (todas as edições suportadas) garantem aplicação de patches prioritária para ambientes SQL Server. O Exchange Server não recebeu nenhuma atualização de segurança este mês. Adicione essas atualizações do SQL Server à sua programação do Patch Now.

Ferramentas de desenvolvedor

Em março, a Microsoft aborda quatro vulnerabilidades no .NET, ASP.NET Core e Microsoft Semantic Kernel, todas classificadas como Importantes, cobrindo o seguinte:

  • CVE-2026-26127 — .NET — Negação de serviço (CVSS 7.5). Divulgado publicamente (dia zero). Uma leitura fora dos limites não autenticada que afeta o .NET 9.0 e 10.0 no Windows, macOS e Linux.
  • CVE-2026-26130 — ASP.NET Core — Negação de serviço (CVSS 7.5). Esgotamento de recursos não autenticados no ASP.NET Core 8.0, 9.0 e 10.0.
  • CVE-2026-26030 — Semantic Kernel Python SDK — Execução remota de código (CVSS 9.9). Desvio de filtro no InMemoryVectorStore; a exploração requer entrada não confiável no caminho do filtro. Classificado como “exploração improvável”.
  • CVE-2026-26131 — .NET 10.0 — Elevação de privilégio (CVSS 7.8). Permissões padrão incorretas no Windows.

As duas vulnerabilidades DoS não autenticadas são a prioridade para serviços .NET e ASP.NET Core voltados para a Internet. CVE-2026-26127 é o segundo dos dois dias zero deste mês. Adicione essas atualizações ao seu cronograma de implantação “Patch Now”.

Adobe (e atualizações de terceiros)

A Adobe (mas não a Microsoft) lançou uma única atualização (APSB26-26) que afeta o Adobe Reader e o Acrobat. Já que você chegou até aqui, um item que vale a pena destacar por ser novidade: CVE-2026-21536 (CVSS 9.8), uma vulnerabilidade crítica de execução remota de código não autenticado no Microsoft Devices Pricing Program, foi descoberta por X-BOWum agente autônomo de testes de penetração alimentado por IA. Isto marca um dos primeiros CVEs de gravidade crítica em um produto da Microsoft atribuído publicamente a um pesquisador de segurança de IA.

Fonte: Computer World

Obrigado por acompanhar nossas publicações. Nosso compromisso é trazer informação com seriedade, clareza e responsabilidade, mantendo você sempre bem informado sobre os principais acontecimentos que impactam nossa cidade, região e o Brasil. Continue nos acompanhando e participe deixando sua opinião — sua voz é essencial para construirmos juntos um jornalismo mais próximo do leitor.

Ismael Martins de Souza Costa Xavier

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.

The most complete solution for web publishing

Fique sempre com a gente! Nosso jornal traz informação em tempo real, com credibilidade e proximidade. Acompanhe, compartilhe e faça parte dessa história.

  • Credibilidade e Seriedade – notícias apuradas com responsabilidade, garantindo confiança na informação.
  • Cobertura Local e Regional – foco em Brasília e Entorno, levando ao leitor o que realmente impacta sua vida.
  • Informação em Tempo Real – atualizações constantes para manter o público sempre bem informado.
  • Conexão com a Comunidade – espaço aberto para a participação do leitor, fortalecendo o vínculo com a sociedade.

Agradecemos a você, leitor, por nos acompanhar e confiar em nosso trabalho. É a sua presença que nos motiva a seguir levando informação com seriedade, clareza e compromisso. Seguiremos juntos, sempre em busca da verdade e da notícia que faz diferença no seu dia a dia.

Jornalista:

Compartilhe esta postagem:

Picture of Souza Costa

Souza Costa

Ismael Martins de Souza Costa Xavier é jornalista, fundador da Agência Souza Costa e atua há mais de uma década no campo da comunicação e marketing digital. Natural de Brasília, dedica-se à produção de conteúdo de credibilidade e à valorização da informação regional, sempre com foco em transparência e seriedade. Como profissional da imprensa, contribui com o Jornal Cidade em Foco, fortalecendo o compromisso do veículo em levar notícias em tempo real para Brasília e Entorno.
Postagens relacionadas

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Últimas postagens
Categoria

Notícias de credibilidade: Jornal Cidade em Foco