微軟1月例行更新概覽
微軟於1月13日發布了本月的例行更新,修補了112個安全漏洞,較上個月的57個增加一倍。此次更新涉及Windows作業系統、Office辦公室套裝軟體,以及Azure雲端服務與開發工具。用戶應儘速更新,以防範潛在的安全威脅。
零時差漏洞詳情
CVE-2026-20805:桌面視窗管理員資訊洩露
此漏洞已被證實被用於實際攻擊。它存在於桌面視窗管理員(DWM)中,授權攻擊者可以透過該漏洞,將進階程序呼叫的一段使用者模式記憶體位址洩露給未經授權的人。該漏洞的CVSS風險評分為5.5。
微軟威脅情報中心(MSTIC)和微軟安全回應中心(MSRC)均已通報此漏洞,但未透露具體的利用方式。根據Zero Day Initiative(ZDI)的分析,此漏洞可能會在攻擊鏈的下一階段被利用來執行任意程式碼。
CVE-2026-21265:安全功能繞過
此漏洞涉及安全開機機制,CVSS風險評分為6.4。由於微軟2011年核發的Windows安全開機憑證即將到期,攻擊者可能繞過該保護機制,影響系統安全。微軟已在半年前發布相關公告提醒用戶注意。
CVE-2023-31096:Agere數據機驅動程式權限提升
該漏洞允許攻擊者獲得SYSTEM權限,風險值達到7.8。微軟已移除agrsm64.sys和agrsm.sys來因應這一威脅。這類零時差漏洞在過去也曾出現過,去年10月微軟已公告了類似漏洞。
其他漏洞概況
1月修補的漏洞中,權限提升漏洞數量最多,共56個。其次是資訊洩露和遠端程式碼執行(RCE)漏洞,分別有22個和21個。還有5個可被用於欺騙的漏洞、3個安全功能繞過漏洞、3個可用於竄改的漏洞及2個阻斷服務(DoS)漏洞。從漏洞危害程度來看,8個屬於重大層級,其中6個是遠端程式碼執行漏洞,2個是權限提升漏洞。