Microsoftは2026年最初のセキュリティ更新で、同社製品および基盤システムに影響する112件の脆弱性に対処した。これには、Desktop Window Managerで悪用が確認されているゼロデイが1件含まれる。
同社の最新のパッチチューズデー更新は、重大(Critical)な脆弱性が開示されない月が2カ月連続となったことを示している。今回のパッチ群には、2年連続で1月に110件超のCVEが含まれている。
ゼロデイ脆弱性――CVE-2026-20805――は情報漏えいの欠陥で、CVSSスコアは5.5。未認証の攻撃者が悪用して機微情報を露出させる可能性がある。米サイバーセキュリティ・インフラセキュリティ庁(CISA)は火曜日、この欠陥を既知の悪用されている脆弱性カタログに追加した。
Trend MicroのZero Day Initiativeで脅威認知の責任者を務めるDustin Childs氏によれば、情報漏えいの脆弱性が実環境で悪用されることは散発的にはあるものの、頻繁ではないという。「これは、メモリリークがコード実行バグと同じくらい重要になり得ることを示している。メモリリークはリモートコード実行を確実なものにするからだ」と同氏はブログ投稿で記している。
Action1で脆弱性研究ディレクターを務めるJason Bicer氏もこれに同意し、CVE-2026-20805の悪用によって露出するメモリは防御を弱体化させ、追加の攻撃を後押しし得ると付け加えた。
「この脆弱性は、成功する多段階攻撃のリスクを高めます」とBicer氏はメールで述べた。「漏えいしたメモリの詳細は他の脆弱性と組み合わせて、権限昇格やデータ窃取を実現できる可能性があり、結果としてより広範なシステム侵害、規制上の露出、信頼の喪失につながり得ます」
Microsoftは、このゼロデイに関連する攻撃の件数を明らかにしていない。ただし、悪用には標的システムへのローカルアクセスが攻撃者に必要だと、Tenableのシニアスタッフ研究エンジニアであるSatnam Narang氏はメールで述べた。
「Desktop Window Managerはパッチチューズデーの常連で、2022年以降このライブラリでは20件のCVEが修正されていますが、このコンポーネントの情報漏えいバグが実環境で悪用されているのを確認したのは今回が初めてです」と同氏は付け加えた。「攻撃者は歴史的に、これを権限の階段を上るために利用してきました」
今月Microsoftが開示した最も深刻な欠陥には、Microsoft Office SharePointに影響するCVE-2026-20947およびCVE-2026-20963、Windows Routing and Remote Access Serviceに影響するCVE-2026-20868、Microsoft Officeに影響するCVE-2026-20952およびCVE-2026-20955、Microsoft Office Wordに影響するCVE-2026-20944が含まれる。
Microsoftはまた、いずれもCVSSスコア7.8の脆弱性8件について、今月は悪用される可能性が高いとしてフラグを付けた。
今月対処された脆弱性の全一覧は、MicrosoftのSecurity Response Centerで確認できる。
翻訳元: https://cyberscoop.com/microsoft-patch-tuesday-january-2026/
