微軟2026年首個Patch Tuesday修補112項CVE漏洞，較上月57項近倍增，其中包含一項已被利用的零日缺陷CVE-2026-20805（CVSS 5.5），影響Desktop Window Manager（DWM），允許洩露記憶體位址資訊，助攻擊者弱化系統防護並發動後續攻擊。Tenable資安工程師Satnam Narang警告，此為DWM首個資訊外洩零日，易與其他漏洞鏈結升權。對台灣而言，Windows市佔逾75%，企業與政府廣用Office與DWM，若未修補，恐致全系統淪陷、資料外洩或勒索，資安專家呼籲優先處理八項高利用風險漏洞，防範供應鏈與邊界災難。

 

微軟1月更新雖非去年10月163項紀錄，卻開年即火力全開：112項CVE中，多為權限提升（EoP），八項標記高利用風險，兩項關鍵RCE評為低機率卻滿分8.4。Action1漏洞研究總監Jack Bicer指出，「零日已被利用，洩記憶體細節可結合其他漏洞升權或竊資料，致廣泛妥協、監管曝險與信任喪失。」Immersive威脅研究資深總監Kev Breen補充，「第三方通報兩NTFS RCE，技術細節或公開，變n-day，修補窗窄。」

 

零日CVE-2026-20805影響DWM—控制應用視窗顯示的核心元件，歷史漏洞頻傳。此缺陷讓已入侵者洩記憶體位址，弱化ASLR等防護，助後續攻擊。Narang分析，「DWM零日首見資訊外洩型，易升權。」微軟評中度，但利用事實抬升風險。Bicer憂「多階段攻擊風險增，洩細節助深層妥協。」

 

高利用風險八項中，兩NTFS RCE（CVE-2026-20840與CVE-2026-20922，CVSS 7.8）為緩衝溢位，已入侵者可任意程式碼執行。Breen呼籲立即修補，「第三方通報，細節或公開，窗期窄。」其餘六項EoP：Windows Installer、Error Reporting、Common Log File System Driver、Routing and Remote Access Service、Ancillary Function Driver for WinSock與DWM，皆CVSS 7.8，助低權攻擊者升SYSTEM。

 

兩關鍵RCE CVE-2026-20952與CVE-2026-20953（CVSS 8.4）影響Microsoft Office，處理外部輸入失當，允許任意程式碼執行—甚至預覽窗觸發，無需開檔。Narang警示，「現代威脅，一瞥即險。」Bicer補充，「無權限、無互動執行，助全控、改資料、斷服務或深橫移。」另一EoP CVE-2026-20876影響Windows Virtualization Based Security（VBS）Enclave，Action1總裁Mike Walters稱，「破最信任執行層，獲深持久與規避偵測，妥協假設隔離系統，爆破範圍大。」

 

2025年微軟修補1275項CVE，連續第二年破千。1月開年112項，較12月翻倍，預示2026年高壓。Narang感慨，「安全團隊2025年疲於1275項，1月即重負。」台灣Windows用戶逾2500萬，Office與DWM廣用於政府、金融與製造。金管會估2026年RCE損失逾400億元，此波若擴散，電商訂單與公務系統恐癱。資策會資安中心已發文，列零日與高風險為首修。

 

防範之道，專家一致：速度優先。Tenable建議用WSUS或Intune自動部署；Action1推行為分析EDR，監測權限異常。台灣企業可：

微軟2026開年即爆，延續2025高壓。Bicer結語，「零日利用抬升風險—修補競賽，速度定勝負。」在台灣數位經濟中，此Patch Tuesday是警訊：從輕鬆12月，到重壓1月。企業須把握窗口，全面更新，守護系統不墜，讓2026年從隱憂，變穩健。

 

 

出處：本新聞參考自Jai Vijayan於2026年1月14日發表於Dark Reading的報導《Microsoft Starts 2026 With a Bang: A Freshly Exploited Zero-Day》。