微軟1月修補3個零時差漏洞，其中1個已被用於實際攻擊、2個已公開

1月13日微軟發布本月例行更新（Patch Tuesday），針對旗下Windows作業系統、Office辦公室套裝軟體，以及Azure雲端服務與開發工具，修補112個安全漏洞，較上個月57個多出一倍。值得留意的是，已有遭到利用與細節被公開的零時差漏洞，用戶應儘速採取行動因應。

其中，已被用於實際攻擊行動的是資訊洩露（ID）漏洞CVE-2026-20805，此漏洞出現於桌面視窗管理員（Desktop Window Manager，DWM），一旦遭到利用，取得授權的攻擊者，能在本機電腦上，透過桌面視窗管理員將資料外洩給未經授權的人，洩漏的資訊是進階程序呼叫的一段使用者模式記憶體位址，CVSS風險為5.5分。

此漏洞由微軟威脅情報中心（MSTIC）及微軟安全回應中心（MSRC）通報，不過，微軟並未透露漏洞如何遭到利用。長期觀察微軟每月例行更新的Zero Day Initiative（ZDI）推測，攻擊者利用此漏洞洩露特定的記憶體區段位址後，可能會在下個階段啟動攻擊鏈，並能執行任意程式碼。

本次有兩個漏洞在修補前就被公開，一個是安全功能繞過漏洞CVE-2026-21265，另一個是MITRE登記的Agere數據機驅動程式權限提升（EoP）漏洞CVE-2023-31096。

其中，CVE-2026-21265與安全開機有關，一旦成功利用，攻擊者就有機會繞過這個保護機制，CVSS風險為6.4分。該漏洞發生的原因，在於微軟2011年核發的Windows安全開機憑證即將在今年到期，若不處理恐將影響安全開機的相關功能。附帶一提，這些憑證即將到期的資訊，微軟已在半年前發布公告。

另一個已被公開的CVE-2023-31096，攻擊者若是利用，就有機會得到SYSTEM權限，風險值為7.8。微軟移除agrsm64.sys和agrsm.sys來因應，針對該廠牌數據機的零時差漏洞處理，已有前例，微軟在去年10月的例行更新當中，公告已遭利用的CVE-2025-24990，以及在修補前就被公開的CVE-2025-24052。

從漏洞類型來看，今年1月修補的漏洞當中，權限提升漏洞有56個最多，其次是資訊洩露與與遠端程式碼執行（RCE）漏洞，分別有22個及21個；另有5個可被用於欺騙的漏洞、3個安全功能繞過漏洞、3個可用於竄改的漏洞，以及2個阻斷服務（DoS）漏洞。從漏洞的危險程度而言，這次有8個為重大層級，其中6個為遠端程式碼執行漏洞，2個為權限提升漏洞。