Microsoft January 2026 Patch Tuesday fixes 3 zero-days, 114 flaws
2026/01/13 BleepingComputer — Microsoft が公表した 2026年1月の Patch Tuesday では、114 件の脆弱性に対するセキュリティ・アップデートが提供されている。その中には、現時点で悪用されている1件の脆弱性と、公開済みの2件のゼロデイ脆弱性が含まれている。今月の Patch Tuesday では、深刻度 Critical に分類される8件の脆弱性が修正された。その内訳は、リモートコード実行の脆弱性が6件、権限昇格の脆弱性が2件である。
各脆弱性カテゴリ別の件数は以下の通りである:
- 57 件:権限昇格の脆弱性
- 3 件:セキュリティ機能バイパスの脆弱性
- 22 件:リモートコード実行の脆弱性
- 22 件:情報漏洩の脆弱性
- 2 件:サービス拒否の脆弱性
- 5 件:なりすましの脆弱性
BleepingComputer が Patch Tuesday のセキュリティ・アップデートを報告する際は、Microsoft が当日にリリースした脆弱性のみを集計している。そのため、この件数には、今月初めに修正された Microsoft Edge と Mariner の脆弱性は含まれていない。
今日リリースされた、セキュリティ関連以外の更新の詳細については、Windows 11 の KB5074109/KB5073455 の累積更新、および Windows 10 の KB5073724 拡張セキュリティ更新に関する記事を参照してほしい。
3件のゼロデイのうち悪用されている脆弱性は1件
今月の Patch Tuesday では、現在悪用されている脆弱性1件と、情報公開済みの脆弱性2件が修正されている。
Microsoft は、公式の修正プログラムが提供されていない段階の脆弱性と、現在悪用されている脆弱性をゼロデイと定義している。
現時点で悪用されているゼロデイ脆弱性
CVE-2026-20805: Desktop Window Manager における情報漏洩の脆弱性
Desktop Window Manager に存在し、現在悪用されている情報漏洩の脆弱性が修正された。Microsoft は、「Desktop Window Manager で機密情報が不正なユーザーに公開されると、何らかの権限を持つ攻撃者が、ローカルで情報を漏洩させる可能性がある」と述べている。
また、この脆弱性の悪用に成功した攻撃者は、リモート ALPC ポートに関連付けられたメモリ・アドレスの読み取りが可能になるという。漏洩する可能性のある情報は、ユーザーモード・メモリに存在するリモート ALPC ポートのセクション・アドレスであると説明されている。
この脆弱性は Microsoft Threat Intelligence Center (MSTIC) と Microsoft Security Response Center (MSRC) により特定されたが、具体的な悪用手法については公表されていない。
情報が公開されているゼロデイ脆弱性
CVE-2026-21265:セキュアブート証明書の有効期限切れに伴うセキュリティ機能バイパスの脆弱性
2011年に発行された Windows セキュアブート証明書の有効期限が近づいており、更新されていないシステムでは、脅威アクターによるセキュアブート・バイパスのリスクが高まると、Microsoft は警告している。
有効期限が近づいている証明書は以下の通りである。
| Certificate Authority (CA) | Location | Purpose | Expiration Date |
|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | KEK | Signs updates to the DB and DBX | 06/24/2026 |
| Microsoft Corporation UEFI CA 2011 | DB | Signs 3rd party boot loaders, Option ROMs, etc. | 06/27/2026 |
| Microsoft Windows Production PCA 2011 | DB | Signs the Windows Boot Manager | 10/19/2026 |
今回のセキュリティ更新プログラムにより、影響を受ける証明書が更新され、セキュアブートの信頼チェーンが維持され、ブート・コンポーネントの検証が継続される。
Microsoft は、2025年6月のアドバイザリ「Windows セキュアブート証明書の有効期限と CA の更新」において、この脆弱性を公開している。
CVE-2023-31096:Windows Agere ソフトモデム・ドライバーにおける権限昇格の脆弱性
2025年10月の Patch Tuesday において、サポート対象の Windows バージョンに同梱されているサードパーティ製 Agere ソフトモデム・ドライバーに存在し、実際に悪用されている脆弱性について、Microsoft は警告していた。
これらの脆弱性は、侵害されたシステム上で管理者権限を取得する目的で悪用されていた。今月の Patch Tuesday において、Microsoft は一連の脆弱なドライバーを Windows から削除した。
Microsoft は、「サポート対象の Windows にネイティブで同梱されている、サードパーティ製 Agere ソフトモデム・ドライバーに脆弱性が存在することを認識している。”agrsm64.sys” および “agrsm.sys” ドライバーは、2026年1月の累積更新で削除された」と述べている。
この脆弱性は、TeamT5 の Zeze により悪用されたと、Microsoft は考えている。
他社からの最近のアップデート
2026年1月にアップデート/アドバイザリをリリースした他ベンダーは以下の通りである。
- Adobe:InDesign/Illustrator/InCopy/Bridge/Substance 3D Modeler/Substance 3D Stager/Substance 3D Painter/Substance 3D Sampler/Coldfusion/Substance 3D Designer のセキュリティ・アップデートをリリースした。
- Cisco:Identity Services Engine (ISE) の脆弱性に対するセキュリティ・アップデートをリリースした。PoC エクスプロイト・コードも公開されている。
- Fortinet:複数製品のセキュリティ・アップデートをリリース。その中には、2件のリモートコード実行 (RCE) の修正が含まれる。
- D-Link :サポート終了となったルーターで、新たな脆弱性が悪用されていることを確認した。
- Google:Android の 2026年1 月のセキュリティ情報を公開。Dolby コンポーネントに影響を与える、深刻な DD+ コーデックの脆弱性などを修正した。
- jsPDF:PDF 生成時に、サーバからの任意のファイル・スマグリングを引き起こす可能性のある脆弱性を修正した。
- n8n:サーバーの乗っ取りに悪用され得る、Ni8mare と呼ばれる深刻度の高い脆弱性を修正した。
- SAP:複数製品向けの 2026年1月のセキュリティ・アップデートをリリースした。SAP Solution Manager の 9.9/10 におけるコード・インジェクション脆弱性の修正を含む。
- ServiceNow:ServiceNow AI Platform における深刻な権限昇格の脆弱性を公開した。
- Trend Micro:Apex Central (オンプレミス) に存在し、SYSTEM 権限で任意のコード実行を許す可能性のある脆弱性を修正した。
- Veeam:Backup & Replication ソフトウェアの複数のセキュリティ脆弱性に対処するアップデートをリリースした。深刻なリモートコード実行 (RCE) の脆弱性を修正した。
2026年1月の Patch Tuesday のレポート全文を参照できる。
Microsoft の 2026年1月の Patch Tuesday が公開されました。ゼロデイとして注目すべきは、 Windows 内部コンポーネントにおける予期しないメモリ動作と、サードパーティ製ドライバーの古い設計に起因する脆弱性です。具体的には、画面表示を管理する Desktop Window Manager (DWM) において、本来保護されるべきメモリ上のアドレス情報が、特定の手順 (ALPC ポートの操作) により、外部から読み取られてしまう欠陥が悪用されていました。また、古い Agere モデム・ドライバーに存在し、管理者権限への権限昇格を許す脆弱性も、ドライバー自体を削除することで根本的な解決が図られました。さらに 2026 年は、 Windows の起動を守るセキュアブートの証明書が期限切れを迎える、大きな節目でもあります。今回のパッチには、この期限切れによる起動トラブルやセキュリティの低下を防ぐための更新も含まれています。
IoT OT Security News 
You must be logged in to post a comment.