山石安全能力中心｜微软1月份漏洞补丁日安全通告

打开网易新闻 查看精彩图片

微软1月份漏洞补丁日安全通告

概述

微软于2026年1月13日发布2026年度首次安全更新。本次更新累计修复微软产品112个安全漏洞，涵盖104个重要漏洞与8个严重漏洞。从漏洞影响类型分布来看，涉及权限提升漏洞56个、信息泄露漏洞23个、远程代码执行漏洞20个，此外还包括5个欺骗漏洞、3个安全功能绕过漏洞、3个篡改漏洞及2个拒绝服务漏洞。

需重点关注的是，桌面窗口管理器信息泄露漏洞（CVE-2026-20805）已被证实存在在野利用风险，建议优先完成修复。

严重漏洞详情

1. CVE-2026-20822 Windows Graphics Component Elevation of Privilege Vulnerability 权限提升漏洞

打开网易新闻 查看精彩图片

详情链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-20822

2. CVE-2026-20854 Windows Local Security Authority Subsystem Service (LSASS) Remote Code Execution Vulnerability 远程代码执行漏洞

打开网易新闻 查看精彩图片

详情链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-20854

3. CVE-2026-20876 Windows Virtualization-Based Security (VBS) Enclave Elevation of Privilege Vulnerability 权限提升漏洞

打开网易新闻 查看精彩图片

详情链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-20876

4. CVE-2026-20944 Microsoft Word Remote Code Execution Vulnerability 远程代码执行漏洞

打开网易新闻 查看精彩图片

详情链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-20944

5. CVE-2026-20952/20953 Microsoft Office Remote Code Execution Vulnerability 远程代码执行漏洞

打开网易新闻 查看精彩图片

详情链接：

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-20952

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-20953

6. CVE-2026-20955 Microsoft Excel Remote Code Execution Vulnerability 远程代码执行漏洞

打开网易新闻 查看精彩图片

详情链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-20955

7. CVE-2026-20957 Microsoft Excel Remote Code Execution Vulnerability 远程代码执行漏洞

打开网易新闻 查看精彩图片

详情链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-20957

在野利用漏洞详情

CVE-2026-20805 Desktop Window Manager Information Disclosure Vulnerability 信息泄露漏洞

打开网易新闻 查看精彩图片

详情链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-20805

防护措施

1. 补丁更新

• Windows自动更新

Windows系统在默认开启Microsoft Update状态下，可自动检测到可用更新并下载安装。

• 手动更新

如不能自动更新，可手动下载安装2026年1月份补丁，链接如下：

https://msrc.microsoft.com/update-guide/releaseNote/2026-Jan

2. 山石终端产品解决方案

山石智铠统一终端安全管理系统支持Windows 终端集中式补丁管理，可批量完成终端漏洞扫描与补丁安装升级操作，助力终端快速完成安全更新，降低漏洞攻击风险。

https://msrc.microsoft.com/update-guide/releaseNote/2026-Jan

山石网科是中国网络安全行业的技术创新领导厂商，由一批知名网络安全技术骨干于2007年创立，并以首批网络安全企业的身份，于2019年9月登陆科创板（股票简称：山石网科，股票代码：688030）。

现阶段，山石网科掌握30项自主研发核心技术，申请560多项国内外专利。山石网科于2019年起，积极布局信创领域，致力于推动国内信息技术创新，并于2021年正式启动安全芯片战略。2023年进行自研ASIC安全芯片的技术研发，旨在通过自主创新，为用户提供更高效、更安全的网络安全保障。目前，山石网科已形成了具备“全息、量化、智能、协同”四大技术特点的涉及基础设施安全、云安全、数据安全、应用安全、安全运营、工业互联网安全、信息技术应用创新、AI安全、安全服务、安全教育等10大类产品及服务，50余个行业和场景的完整解决方案。