Microsoftは2026年最初のPatch Tuesdayを開始し、Windows、Office、および関連するサーバーエコシステム向けに、必須のセキュリティ修正一式を包括的に配布しました。この展開において同社は、任意のコード実行を可能にし得る潜在的な欠陥と、実際に「野放し(in-the-wild)」で悪用されている攻撃の双方を含む、100件を超える脆弱性を無力化しました。
1月の修正パッケージは、強力なゼロデイ脆弱性3件を含む、110件超のCVE識別子に対応しています。さらに、8件の欠陥が高リスクに指定されており、悪用される可能性が高いと評価されています。残る脆弱性の大半は、権限昇格、機微情報の流出、そして恒常的な脅威であるリモートコード実行(RCE)に関わるものです。
最も重要な修正はCVE-2026-20805で、Desktop Window Managerに存在する欠陥です。情報漏えいに分類されており、Microsoftは、この脆弱性が攻撃者によって実際に武器化され、保護されたメモリ領域へアクセスするために悪用されていたことを確認しています。これにより、複雑な多段階攻撃チェーンの組み立てが容易になっていました。
これに加えて、ゼロデイの修正が2件あります。1つはSecure Bootの証明書メカニズムに関するもので、年央までにシステムのブート整合性を損ない得る証明書の期限切れに対処します。もう1つはWindows Digital Mediaにおける権限昇格に関するものです。いずれも広範な悪用は確認されていないものの、Microsoftは両方を「重要(important)」な優先事項として分類しています。
このほか、特に注意すべき重大な脆弱性がいくつかあります:
-
CVE-2026-20854:Local Security Authority Subsystem Service(LSASS)におけるリモートコード実行の欠陥で、理論上、攻撃者がシステム全体の完全な制御を奪取できる可能性があります。
-
CVE-2026-20952 & CVE-2026-20953:Microsoft Officeにおける重大な脆弱性で、巧妙に作成された文書を介して任意のコード実行を許します。
-
CVE-2026-20822:Windows Graphicsコンポーネントにおける権限昇格の欠陥。
-
CVE-2026-20876:VBS Enclaveの仮想化メカニズムにおける不備で、本来は隔離された環境内であっても、攻撃者が権限を昇格できる可能性があります。
これらの項目は、1月サイクルに組み込まれた注目すべきCVEのほんの一部にすぎません。例年どおり、パッチは、サポート対象のWindows 11および10の各バージョン、サーバーエディション、.NETフレームワーク、コラボレーション用ユーティリティなど、幅広い製品を網羅しています。この最初のPatch Tuesdayは、脆弱性との戦いが終わりのないものであり、休暇シーズンであっても揺るぎない警戒が求められることを痛感させるものです。
この更新は現在、Windows Update、手動ダウンロード用カタログ、および企業向けパッチ管理システムを通じて入手可能です。セキュリティ専門家と管理者は、特にネットワーク接続されたデバイスについて、未防備なシステムへの侵入成功リスクを低減するため、直ちにインストールするよう強く促しています。
翻訳元: https://meterpreter.org/microsofts-2026-kickoff-110-patches-fix-active-zero-days-and-office-flaws/
