Январский Patch Tuesday 2026 у Microsoft получился тяжелым и по объему, и по приоритетам. Компания закрывает 114 уязвимостей, среди них три ошибки нулевого дня, и одна уже используется в атаках. Плюс есть восемь критических проблем, которые в плохом сценарии могут закончиться полной компрометацией системы. Это тот релиз, который нельзя растягивать на несколько недель, особенно если у вас есть публичные серверы и удаленный доступ.
Что в этом выпуске самое важное
По раскладке Microsoft в январе закрыты восемь критических уязвимостей и 106 проблем важной степени. Больше всего в релизе повышения привилегий, таких 58. Далее идут 22 случая раскрытия информации, 21 уязвимость удаленного выполнения кода и пять проблем подделки данных. По размеру это третий самый крупный январский выпуск за последние годы, после января 2025 и января 2022. Такая плотность обычно объясняется тем, что перед праздниками обновления стараются не выпускать, чтобы не ломать критичные системы, и часть исправлений копится до января.
Самый неприятный пункт это CVE-2026-20805. Уязвимость затрагивает диспетчер окон рабочего стола Windows и имеет оценку 5,5 по CVSS, то есть по цифрам она выглядит не как максимальная. Но ее уже используют в реальных атаках, и это гораздо важнее оценки. Проблема относится к раскрытию информации: локальный аутентифицированный злоумышленник может получить адрес секции памяти из удаленного порта ALPC, находящегося в пользовательском пространстве. Звучит сухо, но смысл понятный. Такая утечка помогает обойти ASLR и другие механизмы защиты памяти, то есть выступает как инструмент, который открывает дорогу к более сложным цепочкам атак. Агентство CISA официально добавило CVE-2026-20805 в каталог известных эксплуатируемых уязвимостей, а для федеральных организаций США установлен крайний срок установки патча 3 февраля 2026 года. Это хороший индикатор того, что угрозу воспринимают всерьез.
Две другие ошибки нулевого дня включены в январский релиз, но на момент выхода обновлений их активная эксплуатация не подтверждена. CVE-2026-21265 это обход механизма безопасности в защите загрузки, связанный с обработкой цифровых носителей. CVE-2023-31096 это повышение привилегий в устаревших драйверах модемов Agere, и Microsoft в этом релизе полностью удалила эти драйверы.
Где риски для бизнеса выше всего
Отдельная зона внимания это критические уязвимости удаленного выполнения кода в Office и системных сервисах. В пакете Office выделяются CVE-2026-20944 с оценкой 8,4, это выход за границы буфера в Word, а также CVE-2026-20952 и CVE-2026-20953, тоже по 8,4, где речь идет об использовании освобожденной памяти. Такие проблемы опасны не потому, что они редкие, а потому, что путь доставки привычный: документ, письмо, вложение, все то, что пользователи продолжают открывать по инерции.
Среди сервисов Windows выделяется CVE-2026-20854, оценка 7,5, это использование освобожденной памяти в LSASS. LSASS отвечает за аутентификацию и политики безопасности, и проблемы в этой зоне всегда требуют аккуратного отношения, потому что последствия могут уходить в доменную инфраструктуру. Еще одна важная точка это CVE-2026-20868 в службе маршрутизации и удаленного доступа RRAS. Для организаций, где RRAS участвует в VPN и удаленном доступе, это история из категории сначала патч, потом обсуждение.
В целом релиз затрагивает широкий периметр, включая Windows 10, Windows 11, серверные версии, компоненты Office, облачные сервисы Azure и ряд сетевых компонентов, которые обычно стоят на границе инфраструктуры.
Если переводить это на приоритеты, то в первую очередь стоит думать о системах, которые доступны из интернета и которые чаще всего используются как входные точки: VPN и RRAS, SharePoint, инфраструктура обновлений WSUS и все, что связано с удаленным доступом и обменом файлами. Далее уже идут внутренние серверы и рабочие станции. В этой логике важна не только скорость установки, но и контроль последствий. В корпоративной среде патчи имеют смысл только после перезагрузки, а значит нужно проверять, что обновление не просто скачано, а действительно применено.
Перед широким развертыванием стоит прогнать обновления на тестовой группе, потому что у Microsoft регулярно всплывают регрессии с драйверами, и в этом релизе тоже упоминаются потенциальные проблемы вокруг драйвера Cloud Files Mini Filter. Это не повод откладывать, но повод сделать это управляемо: тест, затем масштабирование.
Главный вывод по январскому Patch Tuesday простой. Это не выпуск на потом. Здесь есть активно эксплуатируемая уязвимость, есть критические проблемы в Office и в сервисах, и есть четкий сигнал от CISA через дедлайн 3 февраля. Если ваша инфраструктура зависит от Windows и особенно от удаленного доступа, этот релиз стоит воспринимать как приоритетный.
