サイバーニュース.jp

世界のサイバーなニュースを配信

2026年1月度パッチチューズデー:ゼロデイ脆弱性が悪用中、レガシーモデムドライバーも削除

カテゴリ:

はじめに

Microsoftは2026年1月のパッチチューズデーで、Windowsオペレーティングシステムおよび関連ソフトウェアにおける少なくとも113件のセキュリティホールを修正しました。これらの脆弱性のうち8件はMicrosoftの最も深刻な「緊急」評価を受け、さらに同社は1件のゼロデイ脆弱性(CVE-2026-20805)が既に攻撃者によって悪用されていると警告しています。

DWMのゼロデイ脆弱性:CVE-2026-20805

今回修正された中でも特に注目すべきは、Windowsの主要コンポーネントであるDesktop Window Manager(DWM)の脆弱性、CVE-2026-20805です。この脆弱性はCVSSスコア5.5と中程度であるにもかかわらず、Microsoftは「活発な悪用が確認されている」と報告しています。

Immersiveのサイバー脅威リサーチ担当シニアディレクターであるKev Breen氏は、この種の脆弱性がAddress Space Layout Randomization(ASLR)などのOSセキュリティ制御を迂回するために一般的に使用されると述べています。ASLRはバッファオーバーフローやその他のメモリ操作エクスプロイトから保護するためのもので、この脆弱性はコードがメモリ内のどこに存在するかの情報を漏洩させることで、複雑で信頼性の低いエクスプロイトを実用的で再現性の高い攻撃へと変貌させる可能性があります。Breen氏は「迅速なパッチ適用が現在、唯一効果的な緩和策である」と強調しました。

Ivantiの製品管理担当副社長であるChris Goettl氏も、この脆弱性のベンダー評価やCVSSスコアだけで深刻度を判断すべきではないと警告し、「リスクに基づいた優先順位付けの方法論では、この脆弱性をベンダー評価や割り当てられたCVSSスコアよりも高い深刻度として扱うべきである」と述べています。

Microsoft OfficeのRCE脆弱性

「緊急」評価を受けた脆弱性の中には、Microsoft Officeにおける2つのリモートコード実行(RCE)の脆弱性(CVE-2026-20952およびCVE-2026-20953)が含まれています。これらは、細工されたメッセージをプレビューペインで表示するだけでトリガーされる可能性があります。

レガシーモデムドライバーの削除

Microsoftはまた、以前にも報告されていた特権昇格の脆弱性(CVE-2023-31096)に関連して、Windowsからレガシーなモデムドライバー(agrsm64.sysおよびagrsm.sys)を削除しました。この脆弱性は2年以上前に公開され、信頼できる公開情報が存在していました。

Rapid7のAdam Barnett氏は、「モデムが接続されている必要はなく、ドライバーが存在するだけでシステムが脆弱になる」と警告しています。これは、同じ廃止されたサードパーティによって開発され、何十年もWindowsに含まれていた3つのモデムドライバーがすべて削除されたことになります。

Windows Secure Bootのセキュリティバイパス

今回注目されたもう一つの脆弱性は、Windows Secure Bootに影響を与える重大なセキュリティ機能バイパス脆弱性(CVE-2026-21265)です。Secure Bootはルートキットやブートキットなどの脅威から保護するように設計されており、2011年に発行された証明書セットに依存していますが、これらは2026年6月と10月に期限切れとなります。これらの証明書が期限切れになると、新しい2023年の証明書がないWindowsデバイスはSecure Bootのセキュリティ修正を受けられなくなります。

Barnett氏は、ブートローダーとBIOSの更新時には、特定のOSとBIOSの組み合わせに対して慎重な事前の準備が必要であり、不適切な修復手順はシステムを起動不能にする可能性があると注意を促しています。Microsoftは2023年に代替証明書を発行しており、BlackLotusブートキットによって悪用されたSecure Bootバイパスを修正するためのCVE-2023-24932も含まれています。

ブラウザの更新情報

Mozillaは、FirefoxおよびFirefox ESR向けに合計34件の脆弱性を修正するアップデートをリリースしました。そのうち2件(CVE-2026-0891およびCVE-2026-0892)は悪用が疑われています。これらはFirefox 147(MFSA2026-01)およびFirefox ESR 140.7(MFSA2026-03)で解決されています。また、今週中にはGoogle ChromeとMicrosoft Edgeのアップデートも予定されており、1月6日のChromeアップデートではChrome WebViewの深刻度の高い脆弱性(CVE-2026-0628)が解決されています。

まとめと推奨事項

今回のパッチチューズデーは、積極的に悪用されているゼロデイ脆弱性、OfficeのRCE、そして長年のレガシーモデムドライバーの削除など、多岐にわたる重要な修正を含んでいます。管理者は、迅速なパッチ適用と、Secure Bootの証明書更新のような将来的なリスクへの対応計画を立てる必要があります。詳細はSANS Internet Storm Centerやaskwoody.comで確認してください。

元記事: https://krebsonsecurity.com/2026/01/patch-tuesday-january-2026-edition/

投稿をさらに読み込む