Microsoftの2026年最初のPatch Tuesday更新では、攻撃で積極的に悪用されているゼロデイを含む112件の脆弱性に対処している。
悪用された脆弱性はCVE-2026-20805として追跡されており、MicrosoftはWindowsのDesktop Windows Managerコンポーネントにおける重要度「重要」の情報漏えい問題だと説明している。
Microsoftはアドバイザリで「Desktop Windows Managerにおいて、権限のないアクターに機微情報が露出することで、認可された攻撃者がローカルで情報を漏えいさせることが可能になる」と述べ、さらに「攻撃者がこの脆弱性の悪用に成功した場合に漏えいし得る情報の種類は、リモートALPCポートからのセクションアドレスであり、これはユーザーモードメモリである」と付け加えた。
CVE-2026-20805はMicrosoft自身の研究者によって発見されたが、このゼロデイを悪用する攻撃に関する情報は、同社からは共有されていないようだ。
Trend MicroのZDIは、脅威アクターが標的型攻撃でこの欠陥を悪用した可能性が高いとみている。これはエクスプロイトチェーンの一部であり、CVE-2026-20805の悪用によって得られるアドレスが、任意コード実行の達成に有用だという。
「これは、メモリリークがコード実行バグと同じくらい重要になり得ることを示している。なぜなら、RCEを確実にするからだ」と、ZDIのDustin Childsは指摘している。
今月修正されたWindowsの脆弱性のうち2件は、修正プログラムが利用可能になる前に公に開示されていた:CVE-2026-21265(Secure Bootのバイパス)とCVE-2023-31096(権限昇格)である。
Microsoftの評価によれば、野外で悪用される可能性が「より高い」のは後者のみだという。
今月修正されたWindowsおよびOfficeの脆弱性8件には、重大(Critical)の深刻度評価が付与されている。大半はリモートコード実行に悪用可能で、いくつかは権限昇格に悪用可能だ。
WindowsとOfficeアプリケーションに加え、MicrosoftはAzureとSharePointの脆弱性も解消した。
AdobeのPatch Tuesday更新では、ColdFusionにおける重大なApache Tikaの欠陥を含む25件の脆弱性に対処している。
翻訳元: https://www.securityweek.com/microsoft-patches-exploited-windows-zero-day-111-other-vulnerabilities/
