微软2026年首次补丁星期二修复112个安全漏洞

微软在2026年首次补丁星期二推出了112个常见漏洞和暴露(CVE)的修复补丁，其中包括一些在补丁发布前已被公开披露或积极利用的零日漏洞，以及不少于8个关键漏洞。

尽管与最近的补丁星期二相比，这是一个急剧增加——2025年12月微软仅修复了56个漏洞——但需要注意的是，节假日期间通常是补丁发布的相对安静时期，有时是故意安排的，而1月份往往会带来漏洞披露的回升。尽管如此，补丁管理公司Action1的漏洞研究总监Jack Bicer观察到，最新更新中修复的数量突显了安全团队面临的"日益增长的压力"。

"这符合一个更广泛的趋势：2025年，报告的漏洞比2024年增加了12%，延续了披露安全缺陷的上升轨迹，"Bicer说。

这些缺陷中最重要的是CVE-2026-20805，这是桌面窗口管理器中的信息泄露漏洞，由微软自己的威胁情报和安全响应中心发现。

尽管它的通用漏洞评分系统(CVSS)得分相对较低，仅为5.5分，但微软表示已观察到CVE-2026-20805在野外被积极利用。

Immersive网络威胁研究高级总监Kev Breen解释说："该漏洞从远程异步本地过程调用(ALPC)端口泄露内存地址。这种类型的信息泄露漏洞通常用于绕过地址空间布局随机化(ASLR)——现代操作系统中的一项安全功能，旨在防止缓冲区溢出和其他依赖于操纵运行应用程序内存的攻击。"

"一旦他们知道代码在内存中的位置，他们就可以将其与单独的代码执行漏洞链接起来，将困难的利用转变为可靠的利用，"他说。"微软没有提供关于该链条可能涉及哪些其他组件的任何信息——使防御者更难以威胁猎杀潜在的利用尝试，这意味着快速打补丁是目前唯一的缓解措施。"

Ivanti安全产品管理副总裁Chris Goettl同意这一评估。"该漏洞影响所有当前支持的和扩展安全更新支持的Windows操作系统版本，"他说，"基于风险的优先级方法保证将此漏洞视为比供应商评级或分配的CVSS分数更高的严重性。"

接下来是安全启动证书过期中的安全功能绕过(SFB)缺陷，追踪为CVE-2026-21265。它也具有相对较低的CVSS分数，微软仅将其评为重要级别。然而，Goettl说，它已被公开披露，安全团队应该明智地调查它。

"该修复提供了关于将在2026年过期的证书的警告，以及除了更新之外在证书过期前更新证书所需操作的详细信息，"他说。

"建议开始调查您的组织可能需要采取什么行动来防止证书过期时的潜在服务能力和安全问题。"

零日列表中的其余项目——同样都是公开披露但不知道被利用的——分别可以追溯到三年和四年前。两者都是影响与支持的Windows操作系统本机配备的软调制解调器驱动程序的权限提升(EoP)缺陷。

较旧的CVE-2023-31096存在于Agere软调制解调器驱动程序中，较新的CVE-2024-55414存在于Windows摩托罗拉软调制解调器驱动程序中。微软的解决方案是作为1月累积更新的一部分，删除受影响的驱动程序，第一种情况下是agrsm64.sys和arsm.sys，第二种情况下是smserl64.sys和smserial.sys。

这意味着依赖于它们的软调制解调器硬件现在将在Windows上停止工作。微软表示，管理员应该迅速采取行动，删除对受影响硬件的任何现有依赖。

关键缺陷

2026年1月补丁星期二发布的关键级别缺陷包括6个远程代码执行(RCE)问题和2个权限提升问题。

RCE缺陷影响Microsoft Excel、Microsoft Office和Windows本地安全授权子系统服务(LSASS)。它们被分配了编号CVE-2026-20854、CVE-2026-20944、CVE-2026-20952、CVE-2026-20953、CVE-2026-20955和CVE-2026-20957。

权限提升缺陷是CVE-2026-20822，影响Windows图形组件，以及CVE-2026-20876，影响Windows基于虚拟化的安全(VBS)飞地。

Action1总裁兼联合创始人Mike Walters表示，VBS缺陷值得特别关注，因为"它破坏了旨在保护Windows本身的安全边界，允许攻击者爬升到系统最受信任的执行层之一"。

Walters警告说，依赖VBS来保护凭据和其他秘密或敏感工作负载的组织面临严重风险，因为如果成功利用，攻击者可能能够绕过安全控制，实现持久性，逃避检测，并攻击安全团队认为被强力隔离的系统。

"虽然利用需要高权限，但影响是严重的，因为它损害了基于虚拟化的安全性本身。已经有立足点的攻击者可以使用这个缺陷来击败高级防御，使得及时打补丁对于维持对Windows安全边界的信任至关重要，"他说。

"如果补丁无法立即应用，应限制管理访问，强制执行强权限管理，并监控涉及VBS或飞地相关进程的异常活动。"

Q&A

Q1：CVE-2026-20805漏洞为什么值得特别关注？

A：CVE-2026-20805是桌面窗口管理器中的信息泄露漏洞，虽然CVSS得分只有5.5分，但已被观察到在野外被积极利用。该漏洞能够泄露内存地址，攻击者可以利用它绕过地址空间布局随机化(ASLR)安全功能，将其与其他代码执行漏洞链接，将困难的攻击转变为可靠的攻击。

Q2：Windows基于虚拟化的安全VBS漏洞有多严重？

A：CVE-2026-20876影响Windows VBS飞地，被评为关键级别。这个漏洞破坏了保护Windows的安全边界，允许攻击者进入系统最受信任的执行层。对于依赖VBS保护敏感数据的组织来说风险严重，攻击者可能绕过安全控制、实现持久性并攻击被认为强力隔离的系统。

Q3：微软为什么要删除某些软调制解调器驱动程序？

A：微软删除了agrsm64.sys、arsm.sys、smserl64.sys和smserial.sys等驱动程序，是为了修复CVE-2023-31096和CVE-2024-55414两个权限提升漏洞。这些漏洞影响Agere和摩托罗拉软调制解调器驱动程序，虽然已被公开披露但暂未发现被利用。删除后相关硬件将无法在Windows上工作。