2026年1月パッチチューズデー：Microsoftが3つのゼロデイを含む114件の脆弱性を修正

Microsoftが緊急の月例セキュリティ更新プログラムをリリース

Microsoftは2026年1月13日、月例セキュリティ更新プログラム「パッチチューズデー」をリリースしました。今回の更新では、合計114件もの脆弱性が修正され、その中には3件のゼロデイ脆弱性（1件は悪用済み、2件は公開済み）が含まれています。また、8件が「緊急」に分類されており、そのうち6件がリモートコード実行（RCE）、2件が特権昇格の脆弱性です。

脆弱性の内訳

今回のパッチチューズデーで修正された脆弱性のカテゴリ別内訳は以下の通りです。

57件の特権昇格の脆弱性
3件のセキュリティ機能バイパスの脆弱性
22件のリモートコード実行の脆弱性
22件の情報開示の脆弱性
2件のサービス拒否の脆弱性
5件のなりすましの脆弱性

これらの修正は、Microsoft Edge（1件）とMarinerの脆弱性を含んでいませんが、それらはすでに今月初めに修正されています。

特に警戒すべきゼロデイ脆弱性

今回の更新で特に注目すべきは、すでに悪用が確認されている1件と、公開済みである2件のゼロデイ脆弱性です。

悪用済みゼロデイ: CVE-2026-20805 – Desktop Window Manager 情報漏洩の脆弱性

「Desktop Window Manager」における情報漏洩の脆弱性（CVE-2026-20805）は、すでに悪用が確認されています。この脆弱性を悪用すると、認証された攻撃者がローカルで情報を開示する可能性があります。Microsoftによると、成功した攻撃者はリモートALPCポートに関連するメモリアドレス（ユーザーモードメモリ）を読み取ることができると説明しています。

公開済みゼロデイ: CVE-2026-21265 – Secure Boot 証明書失効セキュリティ機能バイパスの脆弱性

Windows Secure Bootの証明書失効に関連するセキュリティ機能バイパスの脆弱性（CVE-2026-21265）は、公開済みゼロデイです。2011年に発行されたWindows Secure Boot証明書が2026年6月から10月にかけて期限切れに近づいており、更新されていないシステムは、脅威アクターがSecure Bootをバイパスするリスクが高まります。今回のセキュリティ更新プログラムは、影響を受ける証明書を更新し、Secure Bootの信頼チェーンを維持することを目的としています。

公開済みゼロデイ: CVE-2023-31096 – Windows Agere Soft Modem Driver 権限昇格の脆弱性

サードパーティ製のAgere Modemドライバーに関する特権昇格の脆弱性（CVE-2023-31096）も公開済みゼロデイです。この脆弱性は、すでに侵害されたシステム上で管理権限を取得するために悪用されていました。Microsoftは、この脆弱性のあるドライバー（agrsm64.sysおよびagrsm.sys）を2026年1月の累積更新プログラムで削除しました。

他の主要ベンダーからのセキュリティ更新情報

2026年1月には、Microsoft以外にも多くのベンダーがセキュリティ更新プログラムやアドバイザリを公開しています。

Adobe: InDesign、Illustrator、InCopy、Bridge、Substance 3D製品群、Coldfusionなどのセキュリティ更新。
Cisco: Identity Services Engine（ISE）の脆弱性（公開PoCエクスプロイトあり）。
Fortinet: 複数の製品に対するセキュリティ更新（2件のRCEを含む）。
D-Link: 既存の悪用済み脆弱性がEOLルーターに影響。
Google: Androidの1月セキュリティ速報にて、Dolbyコンポーネントに影響を与える緊急の「DD+コーデック」の欠陥を修正。
jsPDF: サーバーから任意のファイルを不正に持ち出すために使用される可能性のある重大な脆弱性を修正。
n8n: サーバーをハイジャックするために使用されうる、最高深刻度の脆弱性「Ni8mare」を修正。
SAP: SAP Solution Managerのコードインジェクションの欠陥（深刻度9.9/10）を含む、1月のセキュリティ更新。
ServiceNow: ServiceNow AI Platformにおける緊急の特権昇格の脆弱性を開示。
Trend Micro: Apex Central（オンプレミス）の重要なセキュリティ欠陥を修正（SYSTEM権限での任意のコード実行が可能）。
Veeam: Backup & Replicationソフトウェアの複数のセキュリティ欠陥（緊急のRCE脆弱性を含む）を修正。

元記事: https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2026-patch-tuesday-fixes-3-zero-days-114-flaws/

サイバーニュース.jp

2026年1月パッチチューズデー：Microsoftが3つのゼロデイを含む114件の脆弱性を修正

Microsoftが緊急の月例セキュリティ更新プログラムをリリース

脆弱性の内訳

特に警戒すべきゼロデイ脆弱性

悪用済みゼロデイ: CVE-2026-20805 – Desktop Window Manager 情報漏洩の脆弱性

公開済みゼロデイ: CVE-2026-21265 – Secure Boot 証明書失効セキュリティ機能バイパスの脆弱性

公開済みゼロデイ: CVE-2023-31096 – Windows Agere Soft Modem Driver 権限昇格の脆弱性

他の主要ベンダーからのセキュリティ更新情報

投稿をさらに読み込む

MacBook ProのM5 Pro/Maxモデル、登場はいつ？大幅再設計の噂も

Apple、プロ向けアプリバンドル「Pro Appsバンドル」の販売を終了、サブスクリプションへ移行

AmazonがAnkerの人気MagSafe互換充電器、ポータブル電源などを割引販売

2026年1月最終週、Appleが新製品と大規模アップデートを多数発表

2026年1月パッチチューズデー：Microsoftが3つのゼロデイを含む114件の脆弱性を修正

Microsoftが緊急の月例セキュリティ更新プログラムをリリース

脆弱性の内訳

特に警戒すべきゼロデイ脆弱性

悪用済みゼロデイ: CVE-2026-20805 – Desktop Window Manager 情報漏洩の脆弱性

公開済みゼロデイ: CVE-2026-21265 – Secure Boot 証明書失効セキュリティ機能バイパスの脆弱性

公開済みゼロデイ: CVE-2023-31096 – Windows Agere Soft Modem Driver 権限昇格の脆弱性

他の主要ベンダーからのセキュリティ更新情報

投稿をさらに読み込む

MacBook ProのM5 Pro/Maxモデル、登場はいつ？ 大幅再設計の噂も

Apple、プロ向けアプリバンドル「Pro Appsバンドル」の販売を終了、サブスクリプションへ移行

AmazonがAnkerの人気MagSafe互換充電器、ポータブル電源などを割引販売

2026年1月最終週、Appleが新製品と大規模アップデートを多数発表

MacBook ProのM5 Pro/Maxモデル、登場はいつ？大幅再設計の噂も