Οι ενημερώσεις της Microsoft τον Ιανουάριο του 2026 διορθώνουν 114 ευπάθειες, με πολλά σφάλματα απομακρυσμένης εκτέλεσης κώδικα που έχουν αξιολογηθεί ως κρίσιμα σε εφαρμογές του Office και υπηρεσίες Windows, όπως το LSASS.
Αυτή η ενημέρωση κώδικα Τρίτη αντιμετωπίζει κρίσιμα ελαττώματα απομακρυσμένης εκτέλεσης κώδικα και πολυάριθμα ζητήματα προνομίων που θα μπορούσαν να επιτρέψουν στους εισβολείς να παραβιάσουν συστήματα.
| Τύπος ευπάθειας | Κόμης |
|---|---|
| Απομακρυσμένη εκτέλεση κώδικα | 22 |
| Άρνηση παροχής υπηρεσιών | 2 |
| Ανύψωση προνομίου | 57 |
| Αποκάλυψη πληροφοριών | 22 |
| Παράκαμψη λειτουργιών ασφαλείας | 3 |
| Παραπλάνηση | 5 |
| Παραποίηση | 3 |
| Σύνολο | 114 |
Η έκδοση περιλαμβάνει 12 κρίσιμα CVE και πάνω από 90 σημαντικά CVE, κυρίως ελαττώματα ανύψωσης προνομίων σε προγράμματα οδήγησης πυρήνα και υπηρεσίες διαχείρισης.
Τρωτά σημεία μηδενικής ημέρας
Το CVE-2026-20805 περιλαμβάνει ελαττώματα του Desktop Windows Manager που αποκαλύπτουν πληροφορίες, με υψηλή βαθμολογία από ερευνητές. Το CVE-2026-21265 στοχεύει στον χειρισμό ψηφιακών μέσων για προνόμια, κάτι που συνηθίζεται στις αλυσοδεμένες επιθέσεις. Το CVE-2023-31096 εμφανίζεται ως backported ή σχετική ενημέρωση κώδικα στις αθροιστικές ενημερώσεις.
| Αναγνωριστικό CVE | Συστατικό | Τύπος | Αυστηρότητα | Βασικές Σημειώσεις |
|---|---|---|---|---|
| CVE-2026-20805 | Desktop Windows Manager | Αποκάλυψη πληροφοριών | Σημαντικό (Υψηλό ανά Σημείο ελέγχου) | Επιτρέπει τη μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα. διορθώθηκε στις 13 Ιανουαρίου 2026 |
| CVE-2026-21265 | Windows Digital Media | Ανύψωση προνομίου | Δεν διευκρινίζεται | Ενεργοποιεί την κλιμάκωση τοπικών προνομίων |
| CVE-2023-31096 | Άγνωστο (παλαιού τύπου) | Zero-day (με βάση τα συμφραζόμενα) | Δεν διευκρινίζεται | Περιλαμβάνεται στις ενημερώσεις Ιανουαρίου 2026 παρά την προηγούμενη ανάθεση |
Κρίσιμα τρωτά σημεία
Ξεχωρίζουν αρκετά κρίσιμα τρωτά σημεία απομακρυσμένης εκτέλεσης κώδικα, συμπεριλαμβανομένου του CVE-2026-20854 στα Windows LSASS, που προέρχονται από Σφάλμα χωρίς χρήση με δυνατότητα εκμετάλλευσης μέσω δικτύων.
Η σουίτα του Office αντιμετωπίζει πολλαπλές απειλές: CVE-2026-20944 (Word εκτός ορίων ανάγνωσης), CVE-2026-20953 και CVE-2026-20952 (χρήση-μετά-δωρεάν) και CVE-2026-20955 και CVE-2026-2026-209 pointflower (εκ των υστέρων σημείων Ex209).
Πρόσθετα κρίσιμα σφάλματα ανύψωσης των προνομίων επηρεάζουν το στοιχείο γραφικών (CVE-2026-20822) και το VBS Enclave (CVE-2026-20876), τα οποία παρουσιάζουν ευπάθειες χωρίς χρήση τοπικά.
Τα στοιχεία των Windows κυριαρχούν στα ζητήματα με την πιο κρίσιμη βαθμολογία, με πάνω από 30 ελαττώματα ανύψωσης προνομίων σε υπηρεσίες όπως οι Υπηρεσίες διαχείρισης, ο διακομιστής SMB και το Win32k, συχνά μέσω συνθηκών αγώνα ή χωρίς χρήση. Σφάλματα αποκάλυψης πληροφοριών στον File Explorer και στο VBS ολοκληρώνουν τους αξιοσημείωτους κινδύνους.,
Αναπτύξτε ενημερώσεις ξεκινώντας από συστήματα που αντιμετωπίζουν το Διαδίκτυο όπως το WSUS (CVE-2026-20856) και οι διακομιστές SMB και μετά τα τελικά σημεία του Office. Δοκιμή σε περιβάλλοντα σταδιοποίησης λόγω πιθανών παλινδρομήσεων σε προγράμματα οδήγησης όπως το Μίνι φίλτρο Cloud Files. Ενεργοποιήστε τις αυτόματες ενημερώσεις για συσκευές καταναλωτών και παρακολουθήστε το CISA KEV για τυχόν γρήγορες προσθήκες, καθώς οι μηδενικές ημέρες αυξάνουν τον επείγοντα χαρακτήρα.
