- सीवीई-2026-21510 — विंडोज़ शेल — सुरक्षा सुविधा बायपास (सीवीएसएस 8.8); गतिरोध उत्पन्न कुशल स्क्रीन और दुर्भावनापूर्ण लिंक या शॉर्टकट फ़ाइल के माध्यम से शेल चेतावनियाँ। सार्वजनिक रूप से खुलासा किया गया और सक्रिय रूप से शोषण किया गया।
- सीवीई-2026-21513 – एमएसएचटीएमएल फ्रेमवर्क – सुरक्षा सुविधा बायपास (सीवीएसएस 8.8); MSHTML रेंडरिंग इंजन विंडोज़ में सक्रिय रहता है, तब भी जब IE डिफ़ॉल्ट ब्राउज़र नहीं है, जिसमें एज में IE मोड भी शामिल है। सार्वजनिक रूप से खुलासा किया गया और सक्रिय रूप से शोषण किया गया।
- सीवीई-2026-21519 — डेस्कटॉप विंडो मैनेजर — विशेषाधिकार का उन्नयन (सीवीएसएस 7.8); प्रकार का भ्रम जिससे सिस्टम में वृद्धि हो सकती है। सक्रिय रूप से शोषण किया गया।
- सीवीई-2026-21533 — विंडोज़ रिमोट डेस्कटॉप सेवाएँ — विशेषाधिकार का उन्नयन (सीवीएसएस 7.8); अनुचित विशेषाधिकार प्रबंधन प्रणाली में वृद्धि की अनुमति देता है। सक्रिय रूप से शोषण किया गया।
- सीवीई-2026-21525 – विंडोज़ रिमोट एक्सेस कनेक्शन मैनेजर – सेवा से इनकार (सीवीएसएस 6.2); शून्य सूचक डीरेफ़रेंस. सक्रिय रूप से शोषण किया गया।
सीआईएसए ने सभी छह सक्रिय रूप से शोषित कमजोरियों को 3 मार्च की प्रवर्तन समय सीमा के साथ ज्ञात शोषित कमजोरियों कैटलॉग में जोड़ा है। अपडेट प्राप्त करने वाले अतिरिक्त विंडोज घटकों में सहायक फ़ंक्शन ड्राइवर (afd.sys), HTTP प्रोटोकॉल स्टैक (http.sys), हाइपर-वी, सिक्योर बूट, एलडीएपी और जीडीआई + शामिल हैं – कोई भी महत्वपूर्ण या सक्रिय रूप से शोषित नहीं है, लेकिन परिवर्तनों की चौड़ाई व्यापक तैनाती से पहले परीक्षण की गारंटी देती है।
सक्रिय रूप से शोषण की गई कमजोरियों और 3 मार्च की CISA समय सीमा के साथ, यह विंडोज़ के लिए पैच नाउ रिलीज़ है; शेल, MSHTML, DWM, रिमोट डेस्कटॉप और रिमोट एक्सेस में बेतहाशा शोषण की पुष्टि होने से देरी की बहुत कम गुंजाइश बचती है।
माइक्रोसॉफ्ट ऑफिस
Microsoft ने Word 2016 के लिए सुरक्षा अद्यतन जारी किया (KB5002839), एक्सेल 2016 (KB5002837), और ऑफिस 2016 (KB5002713), SharePoint सर्वर 2016, 2019, सब्सक्रिप्शन संस्करण और ऑफिस ऑनलाइन सर्वर के अपडेट के साथ। ये अद्यतन केवल MSI-आधारित इंस्टॉलेशन पर लागू होते हैं और Microsoft 365 जैसे क्लिक-टू-रन परिनियोजन पर लागू नहीं होते हैं: