Цього січня Microsoft випустила один із найбільших за останні чотири роки пакетів оновлень безпеки Patch Tuesday, усунувши 113 вразливостей у Windows, Office та супутніх компонентах.
Серед них – одна активно експлуатована zero-day вразливість та вісім критичних дефектів, що дозволяють віддалене виконання коду або підвищення привілеїв.
Zero-day у Desktop Window Manager
Уразливість CVE-2026-20805 зачіпає Desktop Window Manager (DWM) і дозволяє зловмисникам витікати адреси памʼяті через віддалений ALPC-порт.
Хоча дефекти типу information disclosure рідше використовуються безпосередньо, фахівці попереджають: вони часто є частиною складних багатокрокових атак.
«Доволі нетипово бачити, що уразливість витоку інформації активно експлуатується, але саме це і відбувається зараз», — зазначив Дастін Чайлдс із Zero Day Initiative.
За його словами, витік адрес памʼяті використовується зловмисниками як підготовчий етап для подальшого виконання довільного коду. Масштаби атак Microsoft не розкрила, але експерти вважають їх поки обмеженими.
Звернути увагу на Secure Boot
Окремо фахівці радять приділити увагу CVE-2026-21265, повʼязаній із закінченням терміну дії сертифікатів Secure Boot. Організації, які не оновляться до червня 2026 року, ризикують зіткнутися із серйозними збоями у роботі систем.
«Після завершення терміну дії сертифікатів Secure Boot організації можуть зіткнутися не лише з відмовою Secure Boot, а й з проблемами запуску Windows та новими векторами атак», — пояснив Тайлер Рег’юлі, директор із безпекових досліджень Fortra.
Microsoft ще у червні 2025 року надала рекомендації та плейбук для ІТ-фахівців, однак часу для підготовки залишилося обмаль.
Критичні уразливості у Windows та Office
Окрім zero-day, у пакеті є вісім критичних вразливостей. Дві з них – CVE-2026-20952 та CVE-2026-20953 – стосуються Microsoft Office і активуються через Preview Pane в Outlook. Вони дозволяють виконання коду без будь-яких дій з боку користувача, оцінка CVSS – 8.4.
«Ці уразливості дозволяють перетворити звичайний офісний контент на інструмент атаки — без жодного кліку», — пояснив Джек Байсер, директор із дослідження вразливостей Action1.
Серед інших небезпечних дефектів – CVE-2026-20854 у Windows Local Security Authority Subsystem Service (LSASS), що може призвести до викрадення облікових даних і компрометації домену.
Ще дві критичні вразливості підвищення привілеїв зачіпають Windows Graphics Component (CVE-2026-20822) та Windows Virtualization-Based Security Enclave (CVE-2026-20876), потенційно даючи зловмисникам SYSTEM-рівень доступу.
Також виправлено критичні дефекти у Excel та Word.
Січневий Patch Tuesday вибивається з тренду
Пакет із 113 виправлень став третім за масштабом січневим Patch Tuesday з моменту впровадження нової системи безпекових бюлетенів у 2017 році. Більше вразливостей у січні Microsoft виправляла лише у 2025 році (162 CVE) та 2022-му (127 CVE).
Компанія повністю видалила застарілий драйвер Windows Agere Soft Modem, уразливість у якому (CVE-2023-31096) існувала понад три роки. Драйвер був знятий з підтримки ще у 2016 році, і Microsoft вирішила не виправляти його, а видалити з систем.
Оновлення вже доступні через Windows Update, WSUS та Microsoft Update Catalog.
Залишити коментар