En su tradicional Patch Tuesday o Martes de Parche de este mes, Microsoft abordó decenas de errores en productos Windows, Office y servicios asociados, incorporando dos vulnerabilidades divulgadas antes de su parche y múltiples fallos de gravedad alta.
Este martes 10 de marzo, Microsoft publicó su actualización de seguridad mensual correspondiente o Patch Tuesday (Martes de Parche), que incluye resoluciones para decenas de vulnerabilidades en sus productos y servicios. Las correcciones se distribuyen en sistemas operativos Windows, componentes de Microsoft Office, servidores SQL, .NET y servicios en la nube asociados, entre otros.
En total, la actualización cubre al menos 83 vulnerabilidades catalogadas por la compañía, de las cuales ocho han sido clasificadas como “Criticas” y varias decenas como “Importantes”, que también representan riesgos relevantes para la seguridad de los sistemas.
Entre las vulnerabilidades que se han corregido, dos días cero fueron públicamente divulgadas antes de la publicación del parche. Estas fallas corresponden al CVE-2026-21262, un error de elevación de privilegios en SQL Server, y al CVE-2026-26127, una vulnerabilidad de denegación de servicio en .NET. Aunque fueron divulgadas antes de estar parchadas oficialmente, no hay reportes confirmados de explotación activa en ataques reales al momento de su corrección, según la revisión técnica de los boletines.
Además de estos casos, el conjunto de parches de marzo incluye otras categorías de fallos que abarcan elevación de privilegios, ejecución remota de código, divulgación de información, denegación de servicio y suplantación de identidad, afectando múltiples componentes y servicios. Entre los errores destacados se encuentran varias correcciones en Azure Arc, Active Directory Domain Services y Microsoft ACI Confidential Containers, así como defectos vinculados a funcionalidades de red y administración de sistemas.
Un ejemplo particular es un fallo de divulgación de información en Microsoft Excel (CVE-2026-26144), que, en situaciones específicas, podría permitir la exfiltración de datos a través de funciones integradas con Copilot Agent mode si se ejecuta contenido malicioso. Aunque la explotación activa de esta falla no ha sido reportada, el alcance potencial de la misma la convierte en un punto de atención para administradores de sistemas.
Los parches están disponibles a través de Windows Update, Windows Server Update Services (WSUS) y el Microsoft Update Catalog, y se recomienda su implementación lo antes posible para reducir la exposición a posibles ataques que aprovechen alguno de los fallos corregidos.
En comparación con lanzamientos anteriores, este Patch Tuesday no registra, según varios análisis técnicos, vulnerabilidades activamente explotadas en entornos de producción al momento de su publicación.