2026年1月安全更新回顾作者Dustin Childs虽然我正在东京准备即将到来的Pwn2Own汽车大赛但这并不能阻止补丁星期二的到来。请暂时放下你那些没实现的新年决心和我们一起回顾一下Adobe和微软发布的最新安全补丁。如果你想观看涵盖本次所有更新的完整视频回顾可以点击此处查看Adobe 2026年1月补丁情况1月份Adobe发布了11项公告修复了Adobe Dreamweaver、InDesign、Illustrator、InCopy、Bridge、Substance 3D Modeler、Substance 3D Stager、Substance 3D Painter、Substance 3D Sampler、Substance 3D Designer和ColdFusion产品中的25个CVE漏洞。ColdFusion的补丁修复了一个代码执行漏洞但该更新被列为优先级1。不过该漏洞目前并非公开已知也未遭到主动攻击。Dreamweaver的修复程序纠正了5个被评为严重等级的代码执行漏洞。InDesign的更新也包含了5个CVE但只有4个被评为严重等级。Substance 3D Modeler的补丁总共包含6个修复但其中只有2个是关于任意代码执行的。Substance 3D Stager的补丁修复了一个单一的、严重等级的代码执行漏洞。Substance 3D Painter、Adobe Bridge和InCopy的补丁情况也是如此。Substance 3D Sampler的补丁有点奇怪。公告称它是在8月份发布的但今天进行了更新。相关的CVE编号是2026年的所以这可能只是个笔误。Substance 3D Designer的补丁修复了一个重要等级的内存泄露漏洞。最后Illustrator的修复包含了一个严重等级和一个重要等级的漏洞。Adobe本月修复的漏洞中没有一个是发布时已公开已知或正遭主动攻击的。除了ColdFusion的修复程序外Adobe本月发布的所有更新都被列为部署优先级3。微软 2026年1月补丁情况微软以一场“大爆炸”开启了新的一年发布了涉及Windows及其组件、Office及其组件、Azure、Microsoft Edge基于Chromium、SharePoint Server、SQL Server、SMB Server和Windows Management Services的112个新CVE。其中有一个漏洞来自ZDI项目。在今天发布的补丁中有8个被评为严重等级其余为重要等级。计入此次发布中列出的第三方Chromium更新后CVE总数达到了114个。在一月份看到大规模的更新发布并不罕见。我猜测供应商们会在假期期间暂缓某些更新以防止补丁失败或导致应用程序兼容性问题而造成中断。这就导致了一月份的大规模发布。去年是微软发布CVE数量第二多的一年。我们拭目以待他们在2026年是否会超过这个记录。微软列出了一个正在被积极利用的漏洞但发布时已有两个漏洞为公开已知尽管我认为这个数字应该是三个。让我们仔细看看本月一些更有趣的更新从正在被利用的漏洞开始CVE-2026-20805 - Desktop Window Manager信息泄露漏洞看到一个信息泄露漏洞在野外被利用有点不寻常但这就是我们这里遇到的情况。该漏洞允许攻击者从远程ALPC端口泄露一段地址。可以推测威胁行为者随后会在其漏洞利用链的下一阶段使用该地址——很可能是获取任意代码执行权限。这表明内存泄漏如何变得与代码执行漏洞同等重要因为它们使远程代码执行变得可靠。和往常一样微软没有说明这些漏洞利用的广泛程度但考虑到来源它们可能很有限。CVE-2026-21265 - 安全启动证书过期安全功能绕过漏洞虽然不太可能被利用但这个漏洞可能会给管理员带来相当多的麻烦。你需要更新即将过期的证书才能继续接收安全更新或信任新的启动加载程序。再次说明此CVE被利用的可能性很低。然而此CVE被忽略且使用安全启动的设备无法收到补丁的可能性非常高。此外这被列为公开已知但这仅仅意味着微软几个月前就发布了相关信息。CVE-2026-20952 / 202953 - Microsoft Office远程代码执行漏洞又是一个在Office漏洞中包含预览窗格攻击向量的月份。虽然我们仍未知悉这些漏洞有任何被利用的迹象但它们不断累积。威胁行为者找到利用这类漏洞的方法只是时间问题。如果你担心这些问题可以采取额外的预防措施禁用预览窗格这至少可以在没有用户交互的情况下防止漏洞被利用。CVE-2026-20876 – Windows基于虚拟化的安全VBS enclave权限提升漏洞VBS是Windows中较新的安全功能虚拟信任级别VTL充当不同的特权级别。VTL2是目前最高的特权级别而这个漏洞允许攻击者提升至VTL2。微软没有说明是否需要处于VTL0或VTL1才能利用此漏洞。据我所知这是在VBS内修复的第一个VTL权限提升漏洞。微软将此漏洞的CVSS评分列为6.7但我认为这是一个范围变更因为你正在穿越VTL级别。考虑到这一点CVSS分数应为8.2高危。以下是微软2026年1月发布的完整CVE列表CVE标题严重性CVSS公开已利用类型CVE-2026-20805Desktop Window Manager信息泄露漏洞重要5.5否是信息泄露CVE-2023-31096*MITRE: CVE-2023-31096 Windows Agere Soft Modem驱动权限提升漏洞重要7.8是否权限提升CVE-2026-21265†安全启动证书过期安全功能绕过漏洞重要6.4是否安全功能绕过CVE-2024-55414*Windows Motorola Soft Modem驱动权限提升漏洞重要7.8是*否权限提升CVE-2026-20955Microsoft Excel远程代码执行漏洞严重7.8否否远程代码执行CVE-2026-20957Microsoft Excel远程代码执行漏洞严重7.8否否远程代码执行CVE-2026-20952Microsoft Office远程代码执行漏洞严重8.4否否远程代码执行CVE-2026-20953Microsoft Office远程代码执行漏洞严重8.4否否远程代码执行CVE-2026-20944Microsoft Word远程代码执行漏洞严重7.8否否远程代码执行CVE-2026-20822Windows图形组件权限提升漏洞严重7.8否否权限提升CVE-2026-20854Windows本地安全机构子系统服务LSASS远程代码执行漏洞严重7.5否否远程代码执行CVE-2026-20876Windows基于虚拟化的安全VBSEnclave权限提升漏洞严重6.7否否权限提升CVE-2026-21224Azure Connected Machine Agent权限提升漏洞重要7.8否否权限提升CVE-2026-21226适用于Python的Azure Core共享客户端库远程代码执行漏洞重要7.5否否远程代码执行… (此处省略其余表格以保持篇幅实际翻译时应包含所有)………………CVE-2026-0628*Chromium: CVE-2026-0628 WebView标签中的策略执行不足高危N/A否否安全功能绕过*表示此CVE已由第三方发布现被纳入Microsoft发布中。†表示需要额外的管理操作才能完全解决此漏洞。继续看本月发布中的其他严重等级漏洞有几个奇怪的Excel漏洞收到了补丁。起初我以为会涉及到预览窗格但事实并非如此。实际上完全不清楚是什么让这些漏洞被评为严重。但对于Word漏洞来说预览窗格确实是一个攻击向量。LSASS中的漏洞允许通过网络进行代码执行但你需要经过身份验证。最后一个严重漏洞是一个涉及GPU半虚拟化的权限提升漏洞可能导致本地用户以SYSTEM身份执行代码。出于某种原因我觉得我们只是触及了与GPU相关漏洞的表面。看看本月发布中的其他代码执行漏洞有Word和Excel中标准的“打开即中招”漏洞。SharePoint漏洞需要身份验证但几乎所有经过身份验证的用户都拥有所需的权限。有一个有趣的SharePoint漏洞是由前ZDI分析师Piotr Bazydło报告的。这个漏洞不需要身份验证但确实需要用户交互例如导入恶意的WSDL或打开文件。WSUS中的漏洞看起来很可怕但它需要中间人攻击才能利用。NTFS中的两个漏洞需要身份验证。Azure Core中的漏洞允许攻击者将有效令牌更改为恶意令牌这需要“开发人员类型的身份验证”——不管这意味着什么。一月份的最后一个代码执行漏洞需要额外的步骤进行补救。微软正在移除Windows部署服务的免提部署功能。这意味着你需要审计你的企业环境以找到配置了免提部署的系统。然后你需要立即选择接受保护。在微软于2026年年中移除该功能之前你还需要制定计划将这些系统迁移到免提以外的其他方式。权限提升漏洞占了本次发布的绝大部分但大多数只是导致本地攻击者以SYSTEM级权限或管理员权限执行其代码。还有相当多的漏洞允许攻击者从低完整性级别提升到中完整性级别从而逃逸AppContainer隔离。这些漏洞大多存在于Windows Management Services中。有一个漏洞会导致“内核内存访问”——不管这意味着什么。另一个漏洞会导致改变VTL级别但这个漏洞只能让你获得VTL1访问权限。Windows Admin Center中的漏洞很有趣因为它可能允许攻击者在租户内获得目标WAC管理机器的本地管理员权限。这使攻击者能够与其他租户的应用程序和内容进行交互。WalletService中的漏洞只会导致被入侵用户的权限提升。文件资源管理器的漏洞也是如此。SQL Server中的漏洞允许攻击者获得调试权限包括转储内存的能力。和往常一样SQL管理员需要采取额外措施来完全修复此问题。最后一个权限提升漏洞实际上来自2024年。微软没有将此列为公开但我认为是公开的。已经有媒体报道描述了此漏洞。该漏洞存在于Motorola Soft Modem驱动程序中该驱动程序在受支持的Windows操作系统上默认提供。这是一个已弃用的组件因此微软不是修复驱动程序而是直接完全移除该驱动程序。还有一些其他的安全功能绕过漏洞需要讨论。第一个在Excel中它可能允许攻击者绕过宏保护。它还需要一些用户交互所以它不仅仅是一个“打开即中招”的漏洞。远程协助中的漏洞允许攻击者绕过Web标记保护。本月有相当多的信息泄露漏洞得到修复。许多仅导致包含未指定内存内容或内存地址的信息泄露但也有几个例外。CamSvc中的漏洞披露了流行的“敏感信息”。另一个CamSvc漏洞泄露了Capability Access Manager服务的内存。有几个漏洞允许VTL0中的人查看VTL1数据——同样据我所知这也是首次出现。Windows文件资源管理器有几个漏洞可能会泄露沙箱外的地址。这对于沙箱逃逸肯定很有用。Kerberos中的漏洞听起来并不那么令人兴奋但在安装补丁后需要额外步骤。TPM中的漏洞允许攻击者披露“属于受影响应用程序用户的秘密或特权信息”。动态信任根度量组件中的漏洞会泄露加密密钥。Hyper-V漏洞很有趣因为它允许攻击者将来宾虚拟机的数据泄露给Hyper-V主机服务器从而绕过虚拟化安全边界。最后SharePoint信息泄露漏洞很有趣因为它允许泄露SharePoint代表攻击者发出的出站请求返回的数据。这就像攻击者可以利用受影响的系统代表他们自己进行侦察一样。一月份的更新包含了对五个欺骗漏洞的修复尽管其中一些漏洞本身的描述相当晦涩。我们可以说SharePoint中的漏洞是一个跨站脚本漏洞。其中两个漏洞仅仅说明它们允许通过网络进行欺骗。NTLM哈希泄露漏洞至少列出了需要用户交互的事实。说到不明确的描述还有三个漏洞具有难以捉摸的篡改影响。其中两个存在于Windows Hello中允许“未经授权的攻击者在本地执行篡改”。这可能意味着他们可以滥用Hello组件来绕过它但这并没有明确说明。类似地LDAP漏洞只是说明它可能允许通过网络进行篡改。最后SMB和LSASS中存在两个拒绝服务漏洞。然而微软没有提供关于这些漏洞的真实信息只是说攻击者可以利用它们通过网络拒绝服务。至少他们指出SMB漏洞需要身份验证。本月没有发布新的公告。展望未来假设我能在Pwn2Own汽车大赛中幸存下来并且没有变成一大块寿司我将在2月10日回来参加二月份的发布。在那之前保持安全打补丁愉快愿你的所有重启都顺利干净FINISHEDLoij3SX1zhKxtdJjlut7k3QT0JWwwTyF7XWrsU/KA0WLGOyzkkFNQFv8xKBX6FbMORQU3scZqmsq9noJWdWi5CkUh/fhRPBE/fHpGopRA更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享