吳明宜微軟本週發布了今年首次的例行性安全更新 (Patch Tuesday),共計修補 112 項安全漏洞,並特別針對一個先前未公開且已遭利用的 Windows 漏洞發出警告。
本文目錄
零時差漏洞 CVE-2026-20805 現蹤
本次更新中備受關注的漏洞編號為 CVE-2026-20805,該漏洞由微軟內部資安團隊發現。這是一個存在於微軟進階本地程序呼叫 (ALPC) 中的資訊洩漏漏洞,攻擊者若已取得授權,可藉此從遠端 ALPC 連接埠洩漏記憶體位址。此漏洞的通用漏洞評分系統 (CVSS) 風險值為 5.5 。
根據趨勢科技 Zero Day Initiative 研究主管 Dustin Childs 指出,攻擊者一旦取得記憶體位址,就能將其用於攻擊鏈的後續階段。微軟雖然已在昨日釋出更新,但並未詳細說明漏洞的具體利用方式或受駭範圍,因此建議用戶應優先進行修補。
美國網路安全暨基礎架構安全管理署 (CISA) 已將此漏洞列入「已知遭濫用漏洞目錄」(KEV),並要求聯邦政府機關必須在 2 月 3 日前完成資安盤點與軟體更新。
破壞 ASLR 防護機制
資安廠商 Immersive Labs 研究主任 Kev Breen 分析,這類漏洞通常會破壞位址空間配置隨機載入 (ASLR) 。 ASLR 是一種作業系統核心的安全控制機制,用以防範緩衝區溢位及其他記憶體操控攻擊。透過洩漏記憶體中的程式碼位置,攻擊者可將此漏洞與另一個程式碼執行漏洞串聯,將原本不穩定的濫用程式,轉化為可靠且可重複使用的攻擊工具。研究人員同時批評微軟未公告哪些元件可能涉及此類攻擊串聯,影響資安人員採取防禦措施的效果。
其他關鍵漏洞與更新
CVE-2026-20805 被視為微軟今年修補的第一個零時差漏洞。此外,本次 Patch Tuesday 修補數量龐大,微軟還公布了另外兩個已知漏洞:
-
CVE-2026-21265(安全開機憑證過期): 此為安全功能繞過漏洞,CVSS 風險值 6.4 。微軟早於 2025 年 6 月即發布憑證過期通知。由於部分 2011 年發布的憑證即將到期,裝置管理員若未留意更新,將喪失安全開機防護及後續安全更新。 Childs 警告,一旦此漏洞遭濫用,管理員將面臨相當棘手的處境。
-
CVE-2023-31096(Agere Modem 驅動程式權限升級): 這是位於 Windows 內第三方軟體 Agere Modem 驅動程式中的漏洞,CVSS 風險值高達 7.8 。此漏洞與微軟 2023 年發布的同一編號漏洞相關。微軟曾在去年 10 月警告該驅動程式已遭公開濫用,並預告將移除該程式。在本次更新中,微軟已正式移除該漏洞相關組件。
Office 用戶需留意的風險
資安廠商另外標示了幾個重要漏洞,分別是 CVE-2026-20952(CVSS 7.7) 及 CVE-2026-20953(CVSS 7.4) 。兩者皆為 Office 的釋放後使用 (use-after-free) 漏洞,可讓未授權攻擊者於本地執行惡意程式碼。這兩個漏洞的危險之處在於,只要受害者在預覽窗格中檢視攻擊者寄送的檔案,即可能觸發感染。
研究人員指出,雖然目前尚未發現上述 Office 漏洞的濫用情形,但只要漏洞未修補,駭客將其納入攻擊活動中只是時間問題。
來源:The Register