2026年1月补丁星期二更新
微软今日发布补丁,修复了其各类Windows操作系统及支持软件中至少113个安全漏洞。其中8个漏洞被微软评为最严重的"高危"级别,该公司警告称攻击者已在利用其中一个今日修复的漏洞。
本月微软零日漏洞——CVE-2026-20805——源于桌面窗口管理器(DWM)的缺陷,该组件是Windows系统中管理用户屏幕窗口的核心模块。Immersive网络威胁研究高级总监Kev Breen指出,尽管该漏洞仅获得5.5分的中等CVSS评分,但微软已确认其在野利用情况,表明威胁攻击者正利用此漏洞针对各类组织机构。
Breen表示此类漏洞常被用于破坏地址空间布局随机化(ASLR),这项核心操作系统安全控制机制旨在防范缓冲区溢出及其他内存操纵攻击。
Ivanti产品管理副总裁Chris Goettl注意到CVE-2026-20805影响所有当前受支持及扩展安全更新支持的Windows版本。他强调不应因该漏洞被标记为"重要"级别且CVSS评分相对较低而低估其严重性。
"基于风险的优先级评估方法要求将此漏洞视为比供应商评级或CVSS评分更高的严重级别,"他补充道。
本月修复的高危漏洞中包含两个Microsoft Office远程代码执行漏洞(CVE-2026-20952和CVE-2026-20953),仅需在预览窗格中查看恶意构造的消息即可触发。
我们在2025年10月补丁星期二发布的《"终结10"专题报告》中曾指出,微软在发现黑客利用调制解调器驱动程序漏洞入侵系统后,已从所有版本中移除该驱动。Rapid7的Adam Barnett透露,微软今日又因类似原因从Windows移除另外两款调制解调器驱动:微软已掌握功能完整的漏洞利用代码,该代码针对极其相似的调制解调器驱动中的权限提升漏洞(编号CVE-2023-31096)。
"这并非笔误,该漏洞最初由MITRE在两年前披露,原始研究人员还发布了可信的公开分析报告,"Barnett说明,"今日的Windows补丁移除了agrsm64.sys和agrsm.sys文件。这三款调制解调器驱动均源自同一家现已停止运营的第三方厂商,并已预置在Windows系统中数十年。对多数用户而言这些驱动移除不会引起注意,但在某些工业控制系统等特定场景中可能仍存在活跃的调制解调器。"
Barnett提出两个遗留问题:在完全打补丁的Windows设备中究竟还存在多少传统调制解调器驱动?在微软切断攻击者"依赖[有线]生存"的途径——即利用整类陈旧设备驱动进行攻击——之前,这些驱动还将暴露出多少可提升至SYSTEM权限的漏洞?
"尽管微软未宣称掌握CVE-2023-31096的利用证据,但2023年的相关分析报告与2025年移除其他Agere调制解调器驱动的举措,已为在此期间寻找Windows漏洞利用方式的人员释放了两个强烈信号,"Barnett强调,"需要说明的是,即使未连接调制解调器硬件,仅驱动文件的存在就足以让设备处于脆弱状态。"
Immersive、Ivanti和Rapid7均重点关注CVE-2026-21265,这是影响Windows安全启动的关键安全功能绕过漏洞。该安全功能旨在防范rootkit和bootkit等威胁,其依赖的一组证书将于2026年6月和10月到期。这些2011年颁发的证书过期后,未安装2023年新证书的Windows设备将无法继续接收安全启动安全修复。
Barnett特别提醒,在更新引导加载程序和BIOS时,必须针对特定操作系统与BIOS组合做好充分准备,错误的修复步骤可能导致系统无法启动。
"在信息安全领域十五年确实非常漫长,但自震网病毒时代以来一直为安全启动生态系统签名的微软根证书正面临失效倒计时,"Barnett指出,"微软早在2023年就发布了替换证书,同时推出CVE-2023-24932补丁,涵盖相关Windows更新以及后续修复步骤,以应对BlackLotus bootkit利用的安全启动绕过漏洞。"
Goettl同时提到Mozilla已发布Firefox和Firefox ESR更新,共修复34个漏洞,其中两个(CVE-2026-0891和CVE-2026-0892)疑似已被利用。两者均在Firefox 147(MFSA2026-01)中修复,CVE-2026-0891还在Firefox ESR 140.7(MFSA2026-03)中得以解决。
"除1月6日Chrome更新已修复的高危Chrome WebView漏洞(CVE-2026-0628)外,预计本周还将发布Google Chrome和Microsoft Edge更新,"Goettl补充道。