2026年1月漏洞通告
发布时间:2026-02-06
根据影响范围、危害程度等因素,筛选近期各大漏洞数据库公开披露的风险较大的漏洞,可依据此表进行安全风险识别、风险自查和漏洞修补。
汇总列表如下:
漏洞等级:严重
漏洞类型:权限提升
漏洞利用细节是否公开:未公开
漏洞概述:
由于图形组件对权限管控不严格,低权限用户可利用该漏洞提升自身权限至系统管理员级别,进而执行任意恶意操作,控制目标终端或服务器。
影响范围:
覆盖Windows全系列主流操作系统(含Windows 10、Windows 11及服务器版本)。
安全建议:
1、立即安装微软官方发布的安全更新补丁(KB系列对应补丁);
2、限制普通用户的系统操作权限,避免低权限用户接触敏感系统功能;
3、部署终端检测工具,监控异常权限提升行为。
漏洞等级:严重
漏洞类型:RCE
漏洞利用细节是否公开:未公开
漏洞概述:
LSASS进程负责系统身份验证及安全策略管理,攻击者可通过远程网络连接,利用该漏洞向目标终端或服务器发送恶意请求,无需授权即可执行任意代码,控制目标设备,窃取敏感信息。
影响范围:
覆盖Windows全系列操作系统。
安全建议:
1、及时安装微软官方安全补丁,修复LSASS进程漏洞;
2、关闭不必要的远程访问端口,限制外部网络对LSASS进程的访问;
3、启用防火墙及入侵检测系统,拦截可疑远程连接请求。
漏洞等级:严重
漏洞类型:RCE
漏洞利用细节是否公开:未公开
漏洞概述:
由于Office套件对特制文件解析逻辑存在缺陷,攻击者可构造恶意Office文件(如Word、Excel文档),通过邮件、聊天工具等方式发送给用户,用户打开文件后即可触发漏洞,执行远程恶意代码,控制目标终端。
影响范围:
覆盖Microsoft Office多版本套件(含Office 2016、2019、365等)。
安全建议:
1、立即升级Microsoft Office至官方最新版本,安装对应安全补丁;
2、禁止Office自动打开可疑文件,开启文件宏禁用功能;
3、谨慎接收并打开来源不明的Office文件,必要时进行病毒扫描。
漏洞等级:严重
漏洞类型:RCE
漏洞利用细节是否公开:未公开
漏洞概述:
由于Excel对特定格式数据解析不当,存在代码执行漏洞,攻击者可构造恶意Excel表格,诱骗用户打开,触发漏洞后执行远程恶意代码,窃取表格中的敏感数据(如财务数据、客户信息等),或控制终端设备。
影响范围:
覆盖Microsoft Excel多版本(含Excel 2016、2019、365等)。
安全建议:
1、及时升级Microsoft Excel至最新安全版本;
2、开启Excel安全防护模式,禁用宏及可疑脚本执行;
3、对接收的Excel文件进行安全扫描,确认无风险后再打开。
漏洞等级:严重
漏洞类型:RCE
漏洞利用细节是否公开:未公开
漏洞概述:
由于Word对特制文档的解析逻辑存在漏洞,攻击者可制作恶意Word文档,通过邮件、网盘等方式传播,用户打开文档后,漏洞被触发,攻击者可远程执行恶意代码,控制目标终端,窃取办公敏感信息。
影响范围:
覆盖Microsoft Word多版本(含Word 2016、2019、365等)。
安全建议:
1、升级Microsoft Word至官方最新版本,修补漏洞;
2、禁用Word文档宏功能,避免恶意脚本执行;
3、不随意打开陌生来源的Word文档,提升办公安全意识。
漏洞等级:严重
漏洞类型:权限提升
漏洞利用细节是否公开:未公开
漏洞概述:
VBS Enclave负责系统虚拟安全环境管理,该漏洞源于权限校验逻辑缺陷,攻击者可利用该漏洞绕过安全限制,提升自身操作权限,非法访问系统敏感资源,执行恶意操作,危害终端及服务器安全。
影响范围:
覆盖Windows全系列主流操作系统。
安全建议:
1、安装微软官方发布的对应安全补丁,修复权限校验漏洞;
2、加强终端权限管理,严格控制用户操作权限;
3、定期对终端及服务器进行安全扫描,排查漏洞利用痕迹。
漏洞等级:高危
漏洞类型:权限绕过
漏洞利用细节是否公开:未公开
漏洞概述:
攻击者可利用该漏洞绕过组件安全隔离机制,非法访问敏感资源,进一步发起后续攻击,危害终端安全。
影响范围:
覆盖Windows、Mac、Linux全平台Chrome浏览器及依赖其WebView组件的各类应用。
安全建议:
1、立即将Chrome浏览器升级至官方最新版本;
2、禁用不必要的WebView组件调用权限;
3、谨慎访问来源不明的网页及应用,避免触发漏洞。
漏洞等级:高危
漏洞类型:安全配置错误
漏洞利用细节是否公开:未公开
漏洞概述:
由于浏览器对资源分配及释放逻辑处理不当,导致内存泄漏或资源耗尽,攻击者可利用该漏洞发起拒绝服务攻击,或借助漏洞进一步执行恶意代码。
影响范围:
覆盖Google Chrome多版本浏览器。
安全建议:
1、及时升级Google Chrome至官方推送的最新安全版本;
2、定期清理浏览器缓存及冗余资源;
3、开启浏览器安全防护功能,拦截可疑资源请求。
漏洞等级:高危
漏洞类型:越界读写
漏洞利用细节是否公开:已公开
漏洞概述:
该漏洞源于V8 JavaScript引擎在处理特定代码时,对内存边界检查不严格,攻击者可通过精心构造的恶意网页,诱骗用户访问,实现内存越界读写,进而执行远程代码,控制目标终端。
影响范围:
覆盖Google Chrome及基于Chromium内核的各类浏览器(如Microsoft Edge、Brave等)。
安全建议:
1、立即升级Chrome浏览器至最新版本,修补V8引擎漏洞;
2、避免点击陌生、可疑网页链接,关闭浏览器自动加载网页功能;
3、企业用户可部署终端安全管理工具,监控恶意代码执行行为。
漏洞等级:高危
漏洞类型:越权访问
漏洞利用细节是否公开:未公开
漏洞概述:
由于系统权限校验机制不完善,攻击者可利用该漏洞绕过权限限制,非法获取终端敏感信息(如通讯录、短信、位置信息等),或执行未授权操作,危害用户隐私及设备安全。
影响范围:
覆盖HarmonyOS、EMUI全系列多版本系统,涉及华为手机、平板、智能穿戴等全品类终端。
安全建议:
1、及时通过华为手机“设置-系统更新”推送的最新安全补丁;
2、关闭APP不必要的权限申请(如非必要不授予位置、通讯录权限);
3、避免安装非华为应用市场的第三方APP,降低漏洞利用风险。
漏洞等级:高危
漏洞类型:RCE
漏洞利用细节是否公开:未公开
漏洞概述:
NTFS文件系统在处理特定文件操作时存在逻辑缺陷,攻击者可通过远程共享文件、恶意U盘等方式,向目标设备发送特制文件,触发漏洞后执行远程代码,控制目标终端或服务器。
影响范围:
覆盖Windows全系列操作系统,涉及所有使用NTFS文件系统的个人终端、企业服务器及各类联网设备。
安全建议:
1、及时安装微软官方安全补丁,修复NTFS文件系统漏洞;
2、禁止访问不明远程共享文件,插入U盘前进行病毒扫描;
3、开启系统防火墙,拦截可疑文件传输请求。
漏洞等级:高危
漏洞类型:越权
漏洞利用细节是否公开:未公开
漏洞概述:
该组件负责Windows桌面窗口管理,由于权限管控不完善,低权限用户可利用该漏洞提升自身权限,获取系统管理员权限,进而执行恶意操作,窃取敏感信息或破坏系统。
影响范围:
覆盖Windows全系列主流操作系统,波及个人终端、企业办公设备、服务器等各类Windows设备。
安全建议:
1、立即升级系统至微软官方最新安全版本,安装对应补丁;
2、限制普通用户的系统操作权限,避免低权限用户执行高危操作;
3、部署终端安全软件,监控异常权限提升行为。
漏洞等级:高危
漏洞类型:RCE
漏洞利用细节是否公开:已公开
漏洞概述:
WebKit作为Apple设备的核心网页渲染引擎,存在内存管理缺陷,攻击者可构造恶意网页,诱骗用户访问或通过APP后台加载恶意代码,触发漏洞后执行远程代码,控制目标Apple设备,窃取用户隐私(如照片、通讯录、支付信息等),该漏洞已被野外实际利用,风险极高。
影响范围:
覆盖所有搭载WebKit的Apple设备,包括iPhone、iPad、iPod touch等全系列机型。
安全建议:
1、立即将Apple设备升级至最新系统版本(iPhone升级至iOS 26.2及以上、老机型升级至对应安全补丁版本);
2、避免访问陌生、可疑网页,关闭APP后台网页自动加载功能;
3、不随意点击短信、微信中的未知链接,降低漏洞触发风险。
漏洞等级:高危
漏洞类型:安全配置错误
漏洞利用细节是否公开:未公开
漏洞概述:
由于浏览器部分功能实现逻辑不完善,存在安全隐患,攻击者可利用该漏洞绕过浏览器安全防护机制,非法访问敏感信息,或发起恶意攻击,危害用户终端安全。
影响范围:
覆盖Google Chrome多版本浏览器。
安全建议:
1、及时将Google Chrome浏览器升级至官方最新安全版本;
2、开启浏览器隐私保护模式,清理浏览记录及敏感数据;
3、定期检查浏览器插件,禁用不必要的高危插件。
汇总列表如下:
| 序号 | 漏洞名称 | 等级 | 公开时间 |
| 3.1 | Windows图形组件特权提升漏洞 | 严重 | 2026-01-14 |
| 3.2 | Windows LSASS远程代码执行漏洞 | 严重 | 2026-01-14 |
| 3.3 | Microsoft Office远程代码执行漏洞 | 严重 | 2026-01-14 |
| 3.4 | Microsoft Excel远程代码执行漏洞 | 严重 | 2026-01-14 |
| 3.5 | Microsoft Word远程代码执行漏洞 | 严重 | 2026-01-14 |
| 3.6 | Windows VBS Enclave权限提升漏洞 | 严重 | 2026-01-14 |
| 3.7 | Chrome浏览器WebView标签组件安全隔离绕过漏洞 | 高危 | 2026-01-06 |
| 3.8 | Google Chrome资源管理错误漏洞 | 高危 | 2026-01-08 |
| 3.9 | Google Chrome V8越界读写漏洞 | 高危 | 2026-01-08 |
| 3.10 | Huawei HarmonyOS/EMUI权限控制漏洞 | 高危 | 2026-01-08 |
| 3.11 | Windows NTFS远程代码执行漏洞 | 高危 | 2026-01-14 |
| 3.12 | Windows Desktop Window Manager本地提权漏洞 | 高危 | 2026-01-14 |
| 3.13 | Apple WebKit远程代码执行漏洞 | 高危 | 2026-01-20 |
| 3.14 | Google Chrome实现不当漏洞 | 高危 | 2026-01-26 |
3.1 Windows图形组件特权提升漏洞(CVE-2026-20822)
公开时间:2026-01-14漏洞等级:严重
漏洞类型:权限提升
漏洞利用细节是否公开:未公开
漏洞概述:
由于图形组件对权限管控不严格,低权限用户可利用该漏洞提升自身权限至系统管理员级别,进而执行任意恶意操作,控制目标终端或服务器。
影响范围:
覆盖Windows全系列主流操作系统(含Windows 10、Windows 11及服务器版本)。
安全建议:
1、立即安装微软官方发布的安全更新补丁(KB系列对应补丁);
2、限制普通用户的系统操作权限,避免低权限用户接触敏感系统功能;
3、部署终端检测工具,监控异常权限提升行为。
3.2 Windows LSASS远程代码执行漏洞(CVE-2026-20854)
公开时间:2026-01-14漏洞等级:严重
漏洞类型:RCE
漏洞利用细节是否公开:未公开
漏洞概述:
LSASS进程负责系统身份验证及安全策略管理,攻击者可通过远程网络连接,利用该漏洞向目标终端或服务器发送恶意请求,无需授权即可执行任意代码,控制目标设备,窃取敏感信息。
影响范围:
覆盖Windows全系列操作系统。
安全建议:
1、及时安装微软官方安全补丁,修复LSASS进程漏洞;
2、关闭不必要的远程访问端口,限制外部网络对LSASS进程的访问;
3、启用防火墙及入侵检测系统,拦截可疑远程连接请求。
3.3 Microsoft Office远程代码执行漏洞(CVE-2026-20952、CVE-2026-20953)
公开时间:2026-01-14漏洞等级:严重
漏洞类型:RCE
漏洞利用细节是否公开:未公开
漏洞概述:
由于Office套件对特制文件解析逻辑存在缺陷,攻击者可构造恶意Office文件(如Word、Excel文档),通过邮件、聊天工具等方式发送给用户,用户打开文件后即可触发漏洞,执行远程恶意代码,控制目标终端。
影响范围:
覆盖Microsoft Office多版本套件(含Office 2016、2019、365等)。
安全建议:
1、立即升级Microsoft Office至官方最新版本,安装对应安全补丁;
2、禁止Office自动打开可疑文件,开启文件宏禁用功能;
3、谨慎接收并打开来源不明的Office文件,必要时进行病毒扫描。
3.4 Microsoft Excel远程代码执行漏洞(CVE-2026-20955、CVE-2026-20957)
公开时间:2026-01-14漏洞等级:严重
漏洞类型:RCE
漏洞利用细节是否公开:未公开
漏洞概述:
由于Excel对特定格式数据解析不当,存在代码执行漏洞,攻击者可构造恶意Excel表格,诱骗用户打开,触发漏洞后执行远程恶意代码,窃取表格中的敏感数据(如财务数据、客户信息等),或控制终端设备。
影响范围:
覆盖Microsoft Excel多版本(含Excel 2016、2019、365等)。
安全建议:
1、及时升级Microsoft Excel至最新安全版本;
2、开启Excel安全防护模式,禁用宏及可疑脚本执行;
3、对接收的Excel文件进行安全扫描,确认无风险后再打开。
3.5 Microsoft Word远程代码执行漏洞(CVE-2026-20944)
公开时间:2026-01-14漏洞等级:严重
漏洞类型:RCE
漏洞利用细节是否公开:未公开
漏洞概述:
由于Word对特制文档的解析逻辑存在漏洞,攻击者可制作恶意Word文档,通过邮件、网盘等方式传播,用户打开文档后,漏洞被触发,攻击者可远程执行恶意代码,控制目标终端,窃取办公敏感信息。
影响范围:
覆盖Microsoft Word多版本(含Word 2016、2019、365等)。
安全建议:
1、升级Microsoft Word至官方最新版本,修补漏洞;
2、禁用Word文档宏功能,避免恶意脚本执行;
3、不随意打开陌生来源的Word文档,提升办公安全意识。
3.6 Windows VBS Enclave权限提升漏洞(CVE-2026-20876)
公开时间:2026-01-14漏洞等级:严重
漏洞类型:权限提升
漏洞利用细节是否公开:未公开
漏洞概述:
VBS Enclave负责系统虚拟安全环境管理,该漏洞源于权限校验逻辑缺陷,攻击者可利用该漏洞绕过安全限制,提升自身操作权限,非法访问系统敏感资源,执行恶意操作,危害终端及服务器安全。
影响范围:
覆盖Windows全系列主流操作系统。
安全建议:
1、安装微软官方发布的对应安全补丁,修复权限校验漏洞;
2、加强终端权限管理,严格控制用户操作权限;
3、定期对终端及服务器进行安全扫描,排查漏洞利用痕迹。
3.7 Chrome浏览器WebView标签组件安全隔离绕过漏洞(CVE-2026-0628)
公开时间:2026-01-06漏洞等级:高危
漏洞类型:权限绕过
漏洞利用细节是否公开:未公开
漏洞概述:
攻击者可利用该漏洞绕过组件安全隔离机制,非法访问敏感资源,进一步发起后续攻击,危害终端安全。
影响范围:
覆盖Windows、Mac、Linux全平台Chrome浏览器及依赖其WebView组件的各类应用。
安全建议:
1、立即将Chrome浏览器升级至官方最新版本;
2、禁用不必要的WebView组件调用权限;
3、谨慎访问来源不明的网页及应用,避免触发漏洞。
3.8 Google Chrome资源管理错误漏洞(CNVD-2026-02686)
公开时间:2026-01-08漏洞等级:高危
漏洞类型:安全配置错误
漏洞利用细节是否公开:未公开
漏洞概述:
由于浏览器对资源分配及释放逻辑处理不当,导致内存泄漏或资源耗尽,攻击者可利用该漏洞发起拒绝服务攻击,或借助漏洞进一步执行恶意代码。
影响范围:
覆盖Google Chrome多版本浏览器。
安全建议:
1、及时升级Google Chrome至官方推送的最新安全版本;
2、定期清理浏览器缓存及冗余资源;
3、开启浏览器安全防护功能,拦截可疑资源请求。
3.9 Google Chrome V8越界读写漏洞
公开时间:2026-01-08漏洞等级:高危
漏洞类型:越界读写
漏洞利用细节是否公开:已公开
漏洞概述:
该漏洞源于V8 JavaScript引擎在处理特定代码时,对内存边界检查不严格,攻击者可通过精心构造的恶意网页,诱骗用户访问,实现内存越界读写,进而执行远程代码,控制目标终端。
影响范围:
覆盖Google Chrome及基于Chromium内核的各类浏览器(如Microsoft Edge、Brave等)。
安全建议:
1、立即升级Chrome浏览器至最新版本,修补V8引擎漏洞;
2、避免点击陌生、可疑网页链接,关闭浏览器自动加载网页功能;
3、企业用户可部署终端安全管理工具,监控恶意代码执行行为。
3.10 Huawei HarmonyOS/EMUI权限控制漏洞(CNVD-2026-00144)
公开时间:2026-01-08漏洞等级:高危
漏洞类型:越权访问
漏洞利用细节是否公开:未公开
漏洞概述:
由于系统权限校验机制不完善,攻击者可利用该漏洞绕过权限限制,非法获取终端敏感信息(如通讯录、短信、位置信息等),或执行未授权操作,危害用户隐私及设备安全。
影响范围:
覆盖HarmonyOS、EMUI全系列多版本系统,涉及华为手机、平板、智能穿戴等全品类终端。
安全建议:
1、及时通过华为手机“设置-系统更新”推送的最新安全补丁;
2、关闭APP不必要的权限申请(如非必要不授予位置、通讯录权限);
3、避免安装非华为应用市场的第三方APP,降低漏洞利用风险。
3.11 Windows NTFS远程代码执行漏洞(CVE-2026-20840、CVE-2026-20922)
公开时间:2026-01-14漏洞等级:高危
漏洞类型:RCE
漏洞利用细节是否公开:未公开
漏洞概述:
NTFS文件系统在处理特定文件操作时存在逻辑缺陷,攻击者可通过远程共享文件、恶意U盘等方式,向目标设备发送特制文件,触发漏洞后执行远程代码,控制目标终端或服务器。
影响范围:
覆盖Windows全系列操作系统,涉及所有使用NTFS文件系统的个人终端、企业服务器及各类联网设备。
安全建议:
1、及时安装微软官方安全补丁,修复NTFS文件系统漏洞;
2、禁止访问不明远程共享文件,插入U盘前进行病毒扫描;
3、开启系统防火墙,拦截可疑文件传输请求。
3.12 Windows Desktop Window Manager本地提权漏洞(CVE-2026-20871)
公开时间:2026-01-14漏洞等级:高危
漏洞类型:越权
漏洞利用细节是否公开:未公开
漏洞概述:
该组件负责Windows桌面窗口管理,由于权限管控不完善,低权限用户可利用该漏洞提升自身权限,获取系统管理员权限,进而执行恶意操作,窃取敏感信息或破坏系统。
影响范围:
覆盖Windows全系列主流操作系统,波及个人终端、企业办公设备、服务器等各类Windows设备。
安全建议:
1、立即升级系统至微软官方最新安全版本,安装对应补丁;
2、限制普通用户的系统操作权限,避免低权限用户执行高危操作;
3、部署终端安全软件,监控异常权限提升行为。
3.13 Apple WebKit远程代码执行漏洞(CVE-2025-43529、CVE-2025-14174)
公开时间:2026-01-20漏洞等级:高危
漏洞类型:RCE
漏洞利用细节是否公开:已公开
漏洞概述:
WebKit作为Apple设备的核心网页渲染引擎,存在内存管理缺陷,攻击者可构造恶意网页,诱骗用户访问或通过APP后台加载恶意代码,触发漏洞后执行远程代码,控制目标Apple设备,窃取用户隐私(如照片、通讯录、支付信息等),该漏洞已被野外实际利用,风险极高。
影响范围:
覆盖所有搭载WebKit的Apple设备,包括iPhone、iPad、iPod touch等全系列机型。
安全建议:
1、立即将Apple设备升级至最新系统版本(iPhone升级至iOS 26.2及以上、老机型升级至对应安全补丁版本);
2、避免访问陌生、可疑网页,关闭APP后台网页自动加载功能;
3、不随意点击短信、微信中的未知链接,降低漏洞触发风险。
3.14 Google Chrome实现不当漏洞(CNVD-2026-07240)
公开时间:2026-01-26漏洞等级:高危
漏洞类型:安全配置错误
漏洞利用细节是否公开:未公开
漏洞概述:
由于浏览器部分功能实现逻辑不完善,存在安全隐患,攻击者可利用该漏洞绕过浏览器安全防护机制,非法访问敏感信息,或发起恶意攻击,危害用户终端安全。
影响范围:
覆盖Google Chrome多版本浏览器。
安全建议:
1、及时将Google Chrome浏览器升级至官方最新安全版本;
2、开启浏览器隐私保护模式,清理浏览记录及敏感数据;
3、定期检查浏览器插件,禁用不必要的高危插件。
上一篇:2026年1月安全月报 下一篇:返回列表
返回列表
