文章总结： 微软2026年1月补丁修复114个漏洞含3个0day。关键漏洞包括DesktopWindowManager信息泄露CVE-2026-20805、安全引导证书绕过CVE-2026-21265及VBS提权CVE-2026-20876。OfficeRCE漏洞CVE-2026-20952建议禁用预览窗格缓解。管理员需关注VTL权限提升及安全引导配置，及时更新系统。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,终端安全,办公安全,安全运营

微软2026年1月补丁星期二值得关注的漏洞

综合编译

代码卫士

2026年1月14日 18:48 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

1月微软共修复114个漏洞，其中3个是0day漏洞。这些漏洞包括57个提权漏洞、3个安全特性绕过漏洞、22个远程代码执行漏洞、22个信息泄露漏洞、2个拒绝服务漏洞和5个欺骗漏洞。

已遭利用的3个0day漏洞

CVE-2026-20805是位于 Desktop Windows 管理器中的信息泄露漏洞，已遭利用。信息泄露漏洞遭利用的情况并不多见，该漏洞可导致攻击者泄露一个远程 ALPC 端口的段地址。一般来说威胁人员会将该地址用于后续利用链中，很可能是为了获得任意代码执行权限。这也说明了内存泄露漏洞和代码执行漏洞一样重要，因为前者让RCE 具有可靠性。虽然微软像往常一样并未说明这些利用的传播范围有多广泛，但鉴于该漏洞是由微软内部发现的，因此可能传播有限。

公开披露的第一个0day漏洞是CVE-2026-21265，它是安全引导证书过期安全特性绕过漏洞，可能为管理员带来很多麻烦。管理员要么为过期证书继续进行安全更新，要么信任新的引导加载程序。该漏洞遭利用的风险较低，但该漏洞遭忽视而安全引导未接收补丁的概率很高。虽然该漏洞被列为公开已知类别，但这只是意味着微软在数月之前的6月就曾发布了相关信息。

CVE-2023-31096:是Windows Agere Soft Modem驱动中的提权漏洞。早在10月补丁星期二中，微软就曾提醒注意受支持的 Windows版本搭载的第三方 Agere Modem 驱动中已遭利用的多个漏洞，并提到将在后续更新中删除。这些漏洞被用于在受陷系统中获得管理员权限。而在本次补丁星期二中，微软已将这些易受攻击的驱动从 Windows 中删除。

其它值得关注的漏洞

CVE-2026-20952/20953是位于微软 Office 中的远程代码执行漏洞。虽然并未发现这些漏洞遭利用的证据，但这是时间早晚的问题。如果用户有此担忧，则应额外注意禁用预览窗格，这样至少阻止了无需用户交互的利用攻击。

CVE-2026-20876是位于Windows 基于虚拟化安全 (VBS) 安全区的提权漏洞。VBS 是 Windows 中的一种较新的安全特性，而虚拟信任等级 (VTL) 是不同的权限等级。VTL2是目前最高的权限级别，而该漏洞可导致攻击者提升至VTL2。微软并未说明利用该漏洞是否需要位于 VTL0或VTL1级别。这是微软在VBS 内部修复的首个 VTL 提权漏洞。虽然微软对该漏洞的CVSS评级为6.7，但该评分应该并未充分考虑漏洞跨越 VTL 级别带来的影响方位变化，若将此纳入评估，则该漏洞可能的CVSS评分是8.2分的高危级别。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

微软12月补丁星期二值得关注的漏洞

微软2025年11月补丁星期二值得关注的漏洞

微软十月补丁星期二值得关注的漏洞

微软9月补丁星期二值得关注的漏洞

原文链接

https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2026-patch-tuesday-fixes-3-zero-days-114-flaws/

https://www.zerodayinitiative.com/blog/2026/1/13/the-january-2026-security-update-review

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 综合编译《微软2026年1月补丁星期二值得关注的漏洞》