Microsoftの2026年1月のPatch Tuesdayリリースでは、同社製品エコシステム全体にわたる114件のセキュリティ脆弱性に対する修正が提供されており、企業のセキュリティチームが直ちに注意を払うべき3件のゼロデイ欠陥も含まれています。
この大規模な更新は、Windowsの中核サービスおよびOfficeアプリケーションにおける重大なリモートコード実行(RCE)脆弱性に対処しており、今月のセキュリティ状況を支配する権限昇格の脆弱性に特に重点が置かれています。
セキュリティ研究者は、2026年1月リリースにおいて3件のゼロデイ脆弱性を特定しましたが、開示時点ではいずれも悪用は確認されていませんでした。
CVE-2026-20805はDesktop Windows Managerに影響し、情報漏えいのリスクを生じさせます。Check Pointの研究者は、Microsoftが「重要(Important)」に分類しているにもかかわらず、高深刻度と評価しています。
この欠陥により、機密性の高いシステムデータへの不正アクセスが可能になる恐れがあり、機密情報を扱うワークステーションでは優先度の高い対応事項となります。
CVE-2026-21265はWindowsのデジタルメディア関連コンポーネントを標的とし、高度な攻撃キャンペーンで他のエクスプロイトと連鎖して用いられることが多いローカル権限昇格攻撃を可能にします。
3つ目のゼロデイであるCVE-2023-31096は、割り当て自体は以前であるにもかかわらず累積更新プログラムにレガシー脆弱性として含まれており、Microsoftが追加の攻撃ベクトルを発見し、より広範なパッチ適用が必要になったことを示唆しています。
このリリースには「重大(Critical)」評価のCVEが12件含まれており、リモートコード実行の脆弱性が組織にとって最も深刻なリスクとなります。
CVE-2026-20854は特に危険性が高く、ネットワーク越しに悪用可能なuse-after-free脆弱性を介してWindows Local Security Authority Subsystem Service(LSASS)に影響します。
LSASSは認証要求を処理するため、この脆弱性は企業環境における資格情報の窃取やラテラルムーブメントの主要な標的となります。
Microsoft Officeアプリケーションは複数の重大な脅威に直面しており、WordやExcelの脆弱性により、悪意のあるドキュメントを介したコード実行が可能になります。
CVE-2026-20944はWordの境界外読み取り(out-of-bounds read)の欠陥を悪用し、CVE-2026-20953およびCVE-2026-20952はOfficeスイート全体におけるuse-after-free状態を悪用します。
Excelでは、ポインタ操作の問題(CVE-2026-20955)や整数アンダーフローの脆弱性(CVE-2026-20957)があり、攻撃者がフィッシングキャンペーンで武器化する可能性があります。
Windowsカーネルドライバーおよび管理サービスには30件を超える同種の脆弱性が含まれており、競合状態(レースコンディション)やuse-after-freeエラーを通じて悪用可能なものが少なくありません。
SMB Server、Win32kサブシステム、ならびに各種管理サービスは特に注意が必要です。これらのコンポーネントは、ランサムウェア展開や永続的アクセス機構の侵入口として頻繁に利用されるためです。
情報漏えいのバグ(22件のCVE)とセキュリティ機能バイパス(3件のCVE)も本リリースを構成しており、File Explorer、仮想化ベースのセキュリティ(VBS)、Windows Hello認証システムにおける注目すべき問題が含まれます。
これらの脆弱性はリモートコード実行の欠陥ほど深刻ではないものの、攻撃者が標的型攻撃のための情報収集を行ったり、防御策を回避したりすることを可能にします。
セキュリティチームは、リモートコード実行を可能にするCVE-2026-20856の影響を踏まえ、Windows Server Update Services(WSUS)から着手して、インターネットに公開されているシステムへのパッチ適用を優先すべきです。
SMBサーバーは、この重要なファイル共有サービスに影響する複数の権限昇格脆弱性があるため、直ちに対応が必要です。
次にOfficeのエンドポイントを優先してください。生産性スイートの脆弱性は、メールベースの攻撃により容易に悪用されるためです。
組織は広範な展開の前にステージング環境で更新プログラムをテストすべきです。Microsoftは過去に、特にCloud Files Mini Filter Driverのようなコンポーネントでドライバーのリグレッションを引き起こすパッチをリリースしてきた経緯があります。
迅速な保護を確保するため、消費者向けデバイスおよび管理外エンドポイントでは自動更新を有効にしてください。
セキュリティオペレーションセンターは、サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)のKnown Exploited Vulnerabilities(KEV)カタログを監視すべきです。本リリースのゼロデイ欠陥は、パッチの提供からインストールまでの間隙を狙う脅威アクターによって急速に武器化される可能性があるためです。
翻訳元: https://cyberpress.org/microsoft-fixes-114-vulnerabilities/