Microsoft推出2026年1月 Patch Tuesday每月例行更新修補包

微軟在 1 月 14 日發布 2026 年首波 Patch Tuesday 安全更新，修補了 114 個安全漏洞，其中包括 1 個已遭駭客實際利用的零時差漏洞。

在這 114 個漏洞中，有 8 個被評為重大(Critical)等級，106 個為重要(Important)等級。

依照漏洞類型分類：

• 特權提升漏洞 58 個
• 資訊洩露漏洞 22 個
• 遠端程式碼執行漏洞 21 個
• 欺騙漏洞 5 個

根據資安業者 Fortra 的統計，這是繼 2025 年 1 月和 2022 年 1 月之後，規模第三大的 1 月份更新。

桌面視窗管理員漏洞已遭利用

目前已遭實際利用的漏洞為 CVE-2026-20805(CVSS 評分 5.5)，這是影響桌面視窗管理員(DWM)的資訊洩露漏洞，由微軟威脅情報中心(MSTIC)與微軟安全應變中心(MSRC)共同發現並通報此漏洞。

微軟在公告中說明，DWM 存在敏感資訊洩露的問題，可能讓未經授權的攻擊者取得資訊。經過身份驗證的攻擊者成功利用此漏洞後，可在本機取得遠端 ALPC 連接埠(ALPC Port)的區段位址，這是使用者模式記憶體的一部分。

資安業者表示，DWM 負責繪製 Windows 系統顯示器上的所有內容，結合了特權存取和通用可用性兩項誘人特性。攻擊者利用此漏洞可不當洩露 ALPC 連接埠區段位址，而這是 Windows 元件之間用於協調各種動作的使用者模式記憶體區段。

DWM 是 Patch Tuesday 的「常客」，自 2022 年以來已修補了 20 個相關 CVE 漏洞。微軟曾在 2024 年 5 月修補另一個遭利用的 DWM 零時差漏洞 CVE-2024-30051(CVSS 評分 7.8)。當時，多個威脅行為者利用該漏洞散布 QakBot 和其他惡意軟體。

專家表示，本機經過身份驗證的攻擊者可利用這類漏洞洩露資訊，破壞位址空間配置隨機化(ASLR)和其他防禦機制。ASLR 是作業系統的核心安全控制機制，用於防禦緩衝區溢位和其他記憶體操縱攻擊。此漏洞揭露程式碼在記憶體中的位置，可與其他程式碼執行漏洞串連使用，將複雜且不可靠的攻擊轉變為實用且可重複執行的攻擊。

美國網路安全暨基礎設施安全局(CISA)已將此漏洞納入已知遭利用漏洞(KEV)目錄，要求聯邦民間行政部門機構於 2026 年 2 月 3 日前完成修補。

Secure Boot憑證即將到期

另一個值得關注的漏洞是 CVE-2026-21265(CVSS 評分 6.4)，這是影響 Secure Boot 憑證到期的安全功能繞過漏洞。Secure Boot 原本用於確保韌體模組來自可信來源，並防止惡意軟體在開機過程中執行。攻擊者可能利用此漏洞破壞這項重要的安全機制。

微軟在 2025 年 11 月宣布，將於 2026 年 6 月起讓三個 2011 年發行的 Windows Secure Boot 憑證到期，並敦促客戶更新至 2023 年版本。這些憑證包括：

• Microsoft Corporation KEK CA 2011（2026 年 6 月到期），需更新為 Microsoft Corporation KEK 2K CA 2023
• Microsoft Windows Production PCA 2011（2026 年 10 月到期），需更新為 Windows UEFI CA 2023
• Microsoft UEFI CA 2011（2026 年 6 月到期），需更新為 Microsoft UEFI CA 2023 和 Microsoft Option ROM UEFI CA 2023

微軟表示，大多數 Windows 裝置使用的 Secure Boot 憑證將從 2026 年 6 月開始到期。若未及時更新，可能影響部分個人和企業裝置的安全開機能力。為避免中斷，建議提前審查指南並更新憑證。

移除含有漏洞的第三方驅動程式

本次更新也移除隨作業系統出貨的 Agere Soft Modem 驅動程式「agrsm64.sys」和「agrsm.sys」。這些第三方驅動程式存在一個已有兩年歷史的本機特權提升漏洞 CVE-2023-31096(CVSS 評分 7.8)，攻擊者可利用此漏洞取得 SYSTEM 權限。

2025 年 10 月，微軟移除另一個 Agere Modem 驅動程式「ltmdm64.sys」，原因是特權提升漏洞 CVE-2025-24990(CVSS 評分 7.8)遭在野利用，攻擊者可藉此取得管理員權限。

虛擬化安全防護遭突破

此外，CVE-2026-20876(CVSS 評分 6.7)也應列為高優先修補項目。這是 Windows 虛擬化安全性封裝(VBS Enclave)中的重大特權提升漏洞。攻擊者可利用此漏洞取得虛擬信任層級 2(VTL2)特權，進而破壞安全控制、建立深度持續性威脅，並規避偵測。

專家表示，這個漏洞打破了旨在保護 Windows 本身的安全邊界，允許攻擊者提升至系統最受信任的執行層之一。已在系統中取得立足點的攻擊者可利用此漏洞突破進階防禦機制，因此及時修補對維護 Windows 安全邊界的信任至關重要。

其他高風險漏洞

本次更新也修補了多個 Office 相關的遠端程式碼執行漏洞，包括 CVE-2026-20952、CVE-2026-20953(Office)、CVE-2026-20944(Word)和 CVE-2026-20955(Excel)。攻擊者可利用這些漏洞，當使用者開啟惡意檔案或在預覽窗格中查看偽造的電子郵件時，遠端控制電腦。

此外，Windows 圖形漏洞 CVE-2026-20822 對企業尤其緊迫，因為它允許權限受限的使用者提升至完全控制權限。Windows 驗證服務 LSASS 也存在風險（CVE-2026-20854），該服務負責處理密碼，攻擊者可利用此漏洞在整個辦公室網路中橫向移動。

微軟建議所有使用者盡快套用本次安全更新。大多數家庭使用者將自動接收更新，下一輪更新預計於 2 月 10 日發布。

本文轉載自 TheHackerNews、BleepingComputer、Hackread。