2026年1月安全更新深度剖析：微软修复逾百漏洞，包含一处在野利用

2026年1月安全更新回顾

作者：Dustin Childs

虽然我正在东京准备即将到来的Pwn2Own汽车大赛，但这并不能阻止补丁星期二的到来。请暂时放下你那些没实现的新年决心，和我们一起回顾一下Adobe和微软发布的最新安全补丁。如果你想观看涵盖本次所有更新的完整视频回顾，可以点击此处查看：

Adobe 2026年1月补丁情况

1月份，Adobe发布了11项公告，修复了Adobe Dreamweaver、InDesign、Illustrator、InCopy、Bridge、Substance 3D Modeler、Substance 3D Stager、Substance 3D Painter、Substance 3D Sampler、Substance 3D Designer和ColdFusion产品中的25个CVE漏洞。ColdFusion的补丁修复了一个代码执行漏洞，但该更新被列为优先级1。不过，该漏洞目前并非公开已知也未遭到主动攻击。Dreamweaver的修复程序纠正了5个被评为严重等级的代码执行漏洞。InDesign的更新也包含了5个CVE，但只有4个被评为严重等级。Substance 3D Modeler的补丁总共包含6个修复，但其中只有2个是关于任意代码执行的。

Substance 3D Stager的补丁修复了一个单一的、严重等级的代码执行漏洞。Substance 3D Painter、Adobe Bridge和InCopy的补丁情况也是如此。Substance 3D Sampler的补丁有点奇怪。公告称它是在8月份发布的，但今天进行了更新。相关的CVE编号是2026年的，所以这可能只是个笔误。Substance 3D Designer的补丁修复了一个重要等级的内存泄露漏洞。最后，Illustrator的修复包含了一个严重等级和一个重要等级的漏洞。

Adobe本月修复的漏洞中，没有一个是发布时已公开已知或正遭主动攻击的。除了ColdFusion的修复程序外，Adobe本月发布的所有更新都被列为部署优先级3。

微软 2026年1月补丁情况

微软以一场“大爆炸”开启了新的一年，发布了涉及Windows及其组件、Office及其组件、Azure、Microsoft Edge（基于Chromium）、SharePoint Server、SQL Server、SMB Server和Windows Management Services的112个新CVE。其中有一个漏洞来自ZDI项目。在今天发布的补丁中，有8个被评为严重等级，其余为重要等级。计入此次发布中列出的第三方Chromium更新后，CVE总数达到了114个。

在一月份看到大规模的更新发布并不罕见。我猜测供应商们会在假期期间暂缓某些更新，以防止补丁失败或导致应用程序兼容性问题而造成中断。这就导致了一月份的大规模发布。去年是微软发布CVE数量第二多的一年。我们拭目以待他们在2026年是否会超过这个记录。

微软列出了一个正在被积极利用的漏洞，但发布时已有两个漏洞为公开已知（尽管我认为这个数字应该是三个）。让我们仔细看看本月一些更有趣的更新，从正在被利用的漏洞开始：

• CVE-2026-20805 - Desktop Window Manager信息泄露漏洞 看到一个信息泄露漏洞在野外被利用有点不寻常，但这就是我们这里遇到的情况。该漏洞允许攻击者从远程ALPC端口泄露一段地址。可以推测，威胁行为者随后会在其漏洞利用链的下一阶段使用该地址——很可能是获取任意代码执行权限。这表明内存泄漏如何变得与代码执行漏洞同等重要，因为它们使远程代码执行变得可靠。和往常一样，微软没有说明这些漏洞利用的广泛程度，但考虑到来源，它们可能很有限。
• CVE-2026-21265 - 安全启动证书过期安全功能绕过漏洞 虽然不太可能被利用，但这个漏洞可能会给管理员带来相当多的麻烦。你需要更新即将过期的证书，才能继续接收安全更新或信任新的启动加载程序。再次说明，此CVE被利用的可能性很低。然而，此CVE被忽略且使用安全启动的设备无法收到补丁的可能性非常高。此外，这被列为公开已知，但这仅仅意味着微软几个月前就发布了相关信息。
• CVE-2026-20952 / 202953 - Microsoft Office远程代码执行漏洞 又是一个在Office漏洞中包含预览窗格攻击向量的月份。虽然我们仍未知悉这些漏洞有任何被利用的迹象，但它们不断累积。威胁行为者找到利用这类漏洞的方法只是时间问题。如果你担心这些问题，可以采取额外的预防措施，禁用预览窗格，这至少可以在没有用户交互的情况下防止漏洞被利用。
• CVE-2026-20876 – Windows基于虚拟化的安全（VBS） enclave权限提升漏洞 VBS是Windows中较新的安全功能，虚拟信任级别（VTL）充当不同的特权级别。VTL2是目前最高的特权级别，而这个漏洞允许攻击者提升至VTL2。微软没有说明是否需要处于VTL0或VTL1才能利用此漏洞。据我所知，这是在VBS内修复的第一个VTL权限提升漏洞。微软将此漏洞的CVSS评分列为6.7，但我认为这是一个范围变更，因为你正在穿越VTL级别。考虑到这一点，CVSS分数应为8.2（高危）。

以下是微软2026年1月发布的完整CVE列表：

| *表示此CVE已由第三方发布，现被纳入Microsoft发布中。†表示需要额外的管理操作才能完全解决此漏洞。|

继续看本月发布中的其他严重等级漏洞，有几个奇怪的Excel漏洞收到了补丁。起初，我以为会涉及到预览窗格，但事实并非如此。实际上，完全不清楚是什么让这些漏洞被评为严重。但对于Word漏洞来说，预览窗格确实是一个攻击向量。LSASS中的漏洞允许通过网络进行代码执行，但你需要经过身份验证。最后一个严重漏洞是一个涉及GPU半虚拟化的权限提升漏洞，可能导致本地用户以SYSTEM身份执行代码。出于某种原因，我觉得我们只是触及了与GPU相关漏洞的表面。

看看本月发布中的其他代码执行漏洞，有Word和Excel中标准的“打开即中招”漏洞。SharePoint漏洞需要身份验证，但几乎所有经过身份验证的用户都拥有所需的权限。有一个有趣的SharePoint漏洞是由前ZDI分析师Piotr Bazydło报告的。这个漏洞不需要身份验证，但确实需要用户交互，例如导入恶意的WSDL或打开文件。WSUS中的漏洞看起来很可怕，但它需要中间人攻击才能利用。NTFS中的两个漏洞需要身份验证。Azure Core中的漏洞允许攻击者将有效令牌更改为恶意令牌，这需要“开发人员类型的身份验证”——不管这意味着什么。

一月份的最后一个代码执行漏洞需要额外的步骤进行补救。微软正在移除Windows部署服务的免提部署功能。这意味着你需要审计你的企业环境，以找到配置了免提部署的系统。然后，你需要立即选择接受保护。在微软于2026年年中移除该功能之前，你还需要制定计划，将这些系统迁移到免提以外的其他方式。

权限提升漏洞占了本次发布的绝大部分，但大多数只是导致本地攻击者以SYSTEM级权限或管理员权限执行其代码。还有相当多的漏洞允许攻击者从低完整性级别提升到中完整性级别，从而逃逸AppContainer隔离。这些漏洞大多存在于Windows Management Services中。有一个漏洞会导致“内核内存访问”——不管这意味着什么。另一个漏洞会导致改变VTL级别，但这个漏洞只能让你获得VTL1访问权限。Windows Admin Center中的漏洞很有趣，因为它可能允许攻击者在租户内获得目标WAC管理机器的本地管理员权限。这使攻击者能够与其他租户的应用程序和内容进行交互。WalletService中的漏洞只会导致被入侵用户的权限提升。文件资源管理器的漏洞也是如此。SQL Server中的漏洞允许攻击者获得调试权限，包括转储内存的能力。和往常一样，SQL管理员需要采取额外措施来完全修复此问题。最后一个权限提升漏洞实际上来自2024年。微软没有将此列为公开，但我认为是公开的。已经有媒体报道描述了此漏洞。该漏洞存在于Motorola Soft Modem驱动程序中，该驱动程序在受支持的Windows操作系统上默认提供。这是一个已弃用的组件，因此微软不是修复驱动程序，而是直接完全移除该驱动程序。

还有一些其他的安全功能绕过漏洞需要讨论。第一个在Excel中，它可能允许攻击者绕过宏保护。它还需要一些用户交互，所以它不仅仅是一个“打开即中招”的漏洞。远程协助中的漏洞允许攻击者绕过Web标记保护。

本月有相当多的信息泄露漏洞得到修复。许多仅导致包含未指定内存内容或内存地址的信息泄露，但也有几个例外。CamSvc中的漏洞披露了流行的“敏感信息”。另一个CamSvc漏洞泄露了Capability Access Manager服务的内存。有几个漏洞允许VTL0中的人查看VTL1数据——同样，据我所知，这也是首次出现。Windows文件资源管理器有几个漏洞，可能会泄露沙箱外的地址。这对于沙箱逃逸肯定很有用。Kerberos中的漏洞听起来并不那么令人兴奋，但在安装补丁后需要额外步骤。TPM中的漏洞允许攻击者披露“属于受影响应用程序用户的秘密或特权信息”。动态信任根度量组件中的漏洞会泄露加密密钥。Hyper-V漏洞很有趣，因为它允许攻击者将来宾虚拟机的数据泄露给Hyper-V主机服务器，从而绕过虚拟化安全边界。最后，SharePoint信息泄露漏洞很有趣，因为它允许泄露SharePoint代表攻击者发出的出站请求返回的数据。这就像攻击者可以利用受影响的系统代表他们自己进行侦察一样。

一月份的更新包含了对五个欺骗漏洞的修复，尽管其中一些漏洞本身的描述相当晦涩。我们可以说SharePoint中的漏洞是一个跨站脚本漏洞。其中两个漏洞仅仅说明它们允许通过网络进行欺骗。NTLM哈希泄露漏洞至少列出了需要用户交互的事实。说到不明确的描述，还有三个漏洞具有难以捉摸的篡改影响。其中两个存在于Windows Hello中，允许“未经授权的攻击者在本地执行篡改”。这可能意味着他们可以滥用Hello组件来绕过它，但这并没有明确说明。类似地，LDAP漏洞只是说明它可能允许通过网络进行篡改。最后，SMB和LSASS中存在两个拒绝服务漏洞。然而，微软没有提供关于这些漏洞的真实信息，只是说攻击者可以利用它们通过网络拒绝服务。至少他们指出SMB漏洞需要身份验证。

本月没有发布新的公告。

展望未来

假设我能在Pwn2Own汽车大赛中幸存下来，并且没有变成一大块寿司，我将在2月10日回来参加二月份的发布。在那之前，保持安全，打补丁愉快，愿你的所有重启都顺利干净！FINISHED

Loij3SX1zhKxt+dJjlut+7k3QT0JWwwTyF7XWrsU/KA0WLGOyzkkFNQFv8xKBX6FbMORQU3scZqmsq9noJWdWi5CkUh/fhRPBE/fHpGopRA=