Microsoftは1月13日(米国時間)、「2026 年 1 月のセキュリティ更新プログラム (月例)」において、複数の製品の脆弱性に対処する2026年1月のセキュリティ更新プログラムをリリースしたと伝えた。修正された脆弱性は112件に上り、ゼロデイの脆弱性も3件含まれている。
これら脆弱性を放置すると、遠隔から任意のコードを実行されたり、管理者権限を奪われたりするなど攻撃を受ける危険性がある。
-
2026 年 1 月のセキュリティ更新プログラム (月例)
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
- 2026 年 1 月のセキュリティ更新プログラム - リリース ノート - セキュリティ更新プログラム ガイド - Microsoft
- Security Update Guide - Microsoft
3件のゼロデイの脆弱性
修正前に悪用が確認された脆弱性、および詳細情報が公開された脆弱性は次のとおり。
- CVE-2023-31096 - Windows Agereソフトモデムカーネルドライバー(AGRSM64.sysおよびAGRSM.sys)に特権昇格の脆弱性。ローカルの攻撃者は、セキュリティソリューションの検出を回避してSYSTEM権限を取得できる可能性がある(CVSSスコア: 7.8)
- CVE-2026-21265 - Windowsセキュアブートの証明書有効期限切れの脆弱性。攻撃者にセキュリティ機能を回避される可能性がある(CVSSスコア: 6.4)
- CVE-2026-20805 - デスクトップウィンドウマネージャーに情報漏洩の脆弱性。権限を有するローカルの攻撃者は情報を漏洩できる可能性がある(CVSSスコア: 5.5)
直ちにアップデートを
Microsoftは、デスクトップ ウィンドウ マネージャーの情報漏えいを招く恐れがある脆弱性「CVE-2026-20805」が悪用済みであることを公表している。
セキュリティアップデートの対象となる製品は多岐にわたる上、ゼロデイの脆弱性およびMicrosoftの基準で重大と評価される脆弱性「CVE-2026-20868」の修正などが含まれている。Microsoftはユーザーおよび管理者に対して上記セキュリティ情報をチェックするとともに、速やかなアップデートの適用を推奨している。
