Microsoft ha lanzado su habitual actualización de seguridad “Patch Tuesday” correspondiente al mes de marzo de 2026. Según los datos compartidos por BleepingComputer, esta nueva oleada de correcciones soluciona un total de 79 vulnerabilidades presentes en los diversos servicios y aplicaciones de la compañía, incluyendo dos fallos de tipo zero-day que ya eran de conocimiento público y tres vulnerabilidades clasificadas como críticas.
Correcciones críticas en Office y Copilot destacan
Dentro del paquete de correcciones disponible este mes, la atención se centra en los tres problemas de nivel crítico. Dos de estas vulnerabilidades (CVE-2026-26110 y CVE-2026-26113) afectan directamente al paquete Office y permiten la ejecución remota de código. El gran peligro de estas fallas reside en que pueden ser explotadas a través del simple panel de previsualización de documentos, por lo que se recomienda encarecidamente actualizar las aplicaciones de inmediato.
La tercera vulnerabilidad crítica (CVE-2026-26144) tiene como objetivo Excel y se centra en la divulgación indebida de información. La situación se vuelve más alarmante al involucrar el modo Agente de Copilot, permitiendo la extracción de datos a través de un ataque que no requiere ningún clic o interacción por parte de la víctima.
Las correcciones también abarcan actualizaciones acumulativas para Windows 11 (KB5079473 y KB5078883) y la continuación del soporte con el paquete extendido KB5078885 para la versión 10 del sistema operativo. En general, el boletín se divide en 46 correcciones para elevación de privilegios, 18 para ejecución remota de código, 10 asociadas a la divulgación de datos, cuatro relacionadas con la falsificación (spoofing), cuatro para la denegación de servicio (DoS) y dos para eludir mecanismos de seguridad.
Detalles sobre los dos zero-days corregidos
A pesar de que la tecnológica ha confirmado la presencia de dos vulnerabilidades zero-day previamente divulgadas públicamente, ninguna de ellas parece haber sido explotada activamente en ciberataques hasta la fecha de disponibilidad de esta corrección.
La primera falla (CVE-2026-21262) afecta a una elevación de privilegios en SQL Server. Debido a una limitación inadecuada en el control de accesos, un atacante ya presente en la red podría elevar sus permisos para obtener derechos de administrador en el sistema. Esta falla fue comunicada por el investigador Erland Sommarskog.
La segunda vulnerabilidad zero-day (CVE-2026-26127) afecta a .NET y abre la puerta a un ataque de denegación de servicio originado por una lectura fuera de los límites de la memoria. La anomalía fue reportada por un investigador que prefirió permanecer en el anonimato.
Otras marcas acompañan las actualizaciones de marzo
Marzo de 2026 ha sido un mes bastante activo en lo que respecta a la ciberseguridad, y no solo la empresa de Redmond ha lanzado correcciones. Google reveló su más reciente boletín de seguridad para el sistema Android, que incluyó la corrección de una vulnerabilidad zero-day en un componente de Qualcomm, la cual ya estaba siendo explotada activamente por piratas informáticos.
Paralelamente, gigantes de la industria como Adobe han lanzado actualizaciones de seguridad cruciales para softwares como Acrobat Reader, Illustrator y Premiere Pro. De igual forma, empresas enfocadas en redes e infraestructuras, como Cisco, Fortinet, HPE y SAP, también aprovecharon la ocasión para sellar decenas de vulnerabilidades dispersas por sus ecosistemas empresariales.
