微軟發布3月例行更新，修補2個已被公開的零時差漏洞

3月10日微軟發布本月例行更新（Patch Tuesday），總共修補83個漏洞，數量較2月增加40％。值得留意的是，其中有兩個是在微軟公告之前就被公開的零時差漏洞。

這些漏洞是：SQL Server權限提升漏洞CVE-2026-21262，以及.NET阻斷服務（DoS）漏洞CVE-2026-26127，關於兩個漏洞的危險程度，微軟都評為重要（Important）等級，目前尚未出現遭到利用的跡象。

根據CVSS風險評分，較嚴重的是CVE-2026-21262，通過身分驗證並具備特定權限的攻擊者有機會觸發漏洞，在登入SQL Server的過程裡取得sysadmin權限，CVSS風險值為8.8。長期關注微軟例行更新的資安公司Rapid7認為，若是攻擊者藉此取得相關權限，有可能啟用xp_cmdshell，進而直接呼叫底層的作業系統。

另一個公開的漏洞CVE-2026-26127，屬於記憶體越界讀取（Out-of-Bounds Read）型態的弱點，使得未經授權的攻擊者能中斷服務，風險值為7.5。Rapid7指出，雖然單純利用該漏洞的直接影響是服務停擺，但在服務重新啟動的過程中，存在其他攻擊者可利用的機會。