💐 Мартовский Patch Tuesday: 2 зиродея и дефекты ИИ Microsoft выпустила первый весенний пакет обновлений, который имеет вполне типовые для весны объёмы и структуру. Устранено 79 дефектов, среди которых 2 разглашены до устранения, но вроде бы не использовались в реальных атаках. Три уязвимости имеют статус критических (все — в приложениях Office / 365), остальные — важных. 16 приводят к выполнению произвольного кода, 43 — повышению привилегий, 9 — разглашению информации, 4 — отказу в обслуживании, 2 — обходу функций безопасности. Дефекты Office Два критических дефекта MS Office, CVE-2026-26110 и -26113 (CVSS 8.4), приводят к выполнению произвольного кода и срабатывают из панели предварительного просмотра. Нужно поторопиться с установкой обновлений и подумать, не пора ли отключить эту самую панель. Редмонд, правда, оценивает вероятность эксплуатации как невысокую, но ZDI с этим не согласны. Третья уязвимость в Excel более интересна. CVE-2026-26144 (CVSS 7.5) описана просто как утечка информации из Excel на базе межсайтового взаимодействия (CWE-79, XSS), но фактически является атакой на Office Copilot. Сочетание промпт-инъекции с «непредвиденной установкой сетевых соединений» (unintended network egress) позволяет извлекать из документов данные на внешний сервер. Уязвимости нулевого дня CVE-2026-21262 (CVSS 8.8) в SQL Server позволяет аутентифицированному атакующему повысить свои привилегии до администратора SQL-сервера. Изначально дефект описан в этой статье. CVE-2026-26127 (CVSS 7.5) может приводить к отказу в обслуживании в .NET. Где и как разглашена уязвимость, не сказано. #Microsoft #уязвимости @П2Т