أصدرت مايكروسوفت أوائل تحديثاتها الأمنية لعام 2026، والتي تعالج 114 ثغرة أمنية، بما في ذلك ثغرة exploits في المجال. يأتي هذا التحديث الدوري في وقت حاسم للحفاظ على أمن المعلومات.
وفقًا لتقرير صادر عن الشركة، تضمنت هذه التحديثات معالجة ثماني ثغرات مصنفة على أنها “حرجة” و106 ثغرات مصنفة على أنها “مهمة”. تركزت معظم الثغرات المكتشفة، وبلغ عددها 58، على تصعيد الامتيازات، تليها 22 ثغرة تتعلق بإفشاء المعلومات، و21 ثغرة تسمح بتنفيذ التعليمات البرمجية عن بعد، وخمس ثغرات للتصيد الاحتيالي.
تحديثات مايكروسوفت الأمنية لـ 2026
تمثل هذه الرقعة الأمنية، والتي تشمل العديد من التحديثات الأمنية، ثالث أكبر إصدار لـ “Patch Tuesday” في شهر يناير، بعد شهري يناير 2025 ويناير 2022. بالإضافة إلى هذه الثغرات، قامت مايكروسوفت أيضًا بمعالجة ثغرتين أمنيتين في متصفح Edge الخاص بها.
شملت الثغرات في متصفح Edge ثغرة تصيد احتيالي في تطبيقه على نظام أندرويد (CVE-2025-65046) وحالة تتعلق بإنفاذ سياسات غير كافية في وسم Chromium’s WebView (CVE-2026-0628) والتي كانت ذات أهمية متوسطة.
ثغرة في مدير نوافذ سطح المكتب
من أبرز الثغرات التي تم استغلالها في المجال العام هي CVE-2026-20805، وهي ثغرة إفشاء معلومات تؤثر على مدير نوافذ سطح المكتب (Desktop Window Manager). وقد تم الفضل لمركز تهديدات مايكروسوفت الاستخباراتي ومركز استجابة مايكروسوفت الأمني في تحديد هذه الثغرة والإبلاغ عنها.
وصفت مايكروسوفت هذه الثغرة بأنها تسمح للمهاجم المصرح له بالكشف عن معلومات محليًا، وأن نوع المعلومات التي يمكن الكشف عنها هو عنوان قسم من منفذ ALPC بعيد، وهو ذاكرة في وضع المستخدم.
حتى الآن، لا توجد تفاصيل واضحة حول كيفية استغلال هذه الثغرة، أو حجم الجهود المبذولة، أو الجهات التي تقف وراء هذا النشاط. ومع ذلك، فإن مدير نوافذ سطح المكتب هو مكون أساسي في أنظمة ويندوز، مما يجعله هدفًا جذابًا للمهاجمين.
آثار الثغرة واستغلالها
صرح آدم بارنيت، كبير مهندسي البرمجيات في Rapid7، بأن الاستغلال الناجح لهذه الثغرة يؤدي إلى الكشف غير السليم عن عنوان قسم منفذ ALPC، وهو جزء من ذاكرة وضع المستخدم حيث تنسق مكونات ويندوز الإجراءات المختلفة.
وقد عالجت مايكروسوفت سابقًا ثغرة “يوم الصفر” ذات الاستغلال الفعلي في مدير نوافذ سطح المكتب في مايو 2024 (CVE-2024-30051). وصفت تلك الثغرة بأنها تتعلق بتصعيد الامتيازات، وقد تم إساءة استخدامها من قبل العديد من الجهات الفاعلة للتهديدات، بالتزامن مع توزيع برامج ضارة مثل QakBot.
من جهته، أشار جاك بيسر، مدير أبحاث الثغرات في Action1، إلى أن الثغرة يمكن استغلالها من قبل مهاجم مصادق عليه محليًا للكشف عن معلومات، مما قد يساعد في التحايل على آليات الأمان مثل تعيين توزيع مساحة العناوين (ASLR) للدفاع ضد تجاوزات المخزن المؤقت.
تُستخدم الثغرات من هذا النوع بشكل شائع لتقويض ASLR، وهو تحكم أمني أساسي في نظام التشغيل مصمم للحماية من استغلال الذاكرة. من خلال الكشف عن موقع التعليمات البرمجية في الذاكرة، يمكن ربط هذه الثغرة بثغرة أخرى لتنفيذ التعليمات البرمجية، مما يحول الهجوم المعقد وغير الموثوق به إلى هجوم عملي وقابل للتكرار.
قامت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) بإضافة هذه الثغرة إلى كتالوج الثغرات المعروفة التي يتم استغلالها (KEV)، مما يلزم الوكالات الفيدرالية المدنية بتطبيق أحدث الإصلاحات بحلول 3 فبراير 2026.
ثغرة أخرى تتعلق بأمان الإقلاع
من الثغرات الأخرى الهامة، ثغرة تتعلّق بتجاوز ميزة أمنية تؤثر على انتهاء صلاحية شهادات الإقلاع الآمن (Secure Boot Certificate Expiration) (CVE-2026-21265). يمكن لهذه الثغرة أن تسمح للمهاجم بتقويض آلية أمنية حاسمة تضمن أن وحدات البرامج الثابتة تأتي من مصدر موثوق به، وتمنع تشغيل البرامج الضارة أثناء عملية الإقلاع.
في نوفمبر 2025، أعلنت مايكروسوفت عن انتهاء صلاحية ثلاث شهادات إقلاع آمن لويندوز صادرة في عام 2011، بدءًا من يونيو 2026، وحثت العملاء على التحديث إلى نظيراتها لعام 2023.
أشارت مايكروسوفت إلى أن شهادات الإقلاع الآمن المستخدمة في معظم أجهزة ويندوز ستنتهي صلاحيتها اعتبارًا من يونيو 2026، مما قد يؤثر على قدرة بعض الأجهزة على الإقلاع بأمان إذا لم يتم تحديثها في الوقت المناسب.
إزالة برامج تشغيل قديمة
بالإضافة إلى ذلك، نوهت مايكروسوفت إلى أن التحديث الأخير يزيل برامج تشغيل Agere Soft Modem، والتي كانت مثبتة مسبقًا مع نظام التشغيل. هذه البرامج كانت عرضة لثغرة تصعيد امتيارات محلية قديمة (CVE-2023-31096)، والتي كان يمكن للمهاجم من خلالها الحصول على صلاحيات النظام (SYSTEM).
في أكتوبر 2025، اتخذت مايكروسوفت خطوات لإزالة برنامج تشغيل Agere Modem آخر (ltmdm64.sys) بعد استغلال ثغرة تصعيد امتيارات في المجال (CVE-2025-24990) والتي كانت تسمح للمهاجم بالحصول على صلاحيات إدارية.
أيضًا، على قائمة الأولويات، تبرز ثغرة CVE-2026-20876، وهي ثغرة حرجة لتصعيد الامتيازات في حاوية الأمان المستند إلى المحاكاة الافتراضية (VBS) في ويندوز. تسمح هذه الثغرة للمهاجم بالحصول على امتيازات مستوى الثقة الافتراضي 2 (VTL2) واستغلالها للتحايل على الضوابط الأمنية، وترسيخ وجوده بعمق، وتجنب الكشف.
قال مايك والترز، رئيس ومؤسس مشارك في Action1، إن هذه الثغرة تكسر حاجز الأمان المصمم لحماية نظام ويندوز نفسه، مما يسمح للمهاجمين بالصعود إلى أحد طبقات التنفيذ الأكثر ثقة في النظام.
على الرغم من أن الاستغلال يتطلب امتيازات عالية، إلا أن التأثير شديد لأنه يقوض الأمن المستند إلى المحاكاة الافتراضية نفسه. يمكن للمهاجمين الذين لديهم بالفعل موطئ قدم استخدام هذه الثغرة للتحايل على الدفاعات المتقدمة، مما يجعل التصحيح الفوري ضروريًا للحفاظ على الثقة في حدود أمان ويندوز.
تحديثات أمنية من موردين آخرين
بالإضافة إلى مايكروسوفت، أصدر موردون آخرون تحديثات أمنية منذ بداية الشهر لمعالجة عدة ثغرات، بما في ذلك:
- ABB
- Adobe
- Amazon Web Services
- AMD
- Arm
- ASUS
- Broadcom (بما في ذلك VMware)
- Cisco
- ConnectWise
- Dassault Systèmes
- D-Link
- Dell
- Devolutions
- Drupal
- Elastic
- F5
- Fortinet
- Fortra
- Foxit Software
- FUJIFILM
- Gigabyte
- GitLab
- Google Android and Pixel
- Google Chrome
- Google Cloud
- Grafana
- Hikvision
- HP
- HP Enterprise (بما في ذلك Aruba Networking و Juniper Networks)
- IBM
- Imagination Technologies
- Lenovo
- Linux distributions AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE, and Ubuntu
- MediaTek
- Mitel
- Mitsubishi Electric
- MongoDB
- Moxa
- Mozilla Firefox and Firefox ESR
- n8n
- NETGEAR
- Node.js
- NVIDIA
- ownCloud
- QNAP
- Qualcomm
- Ricoh
- Samsung
- SAP
- Schneider Electric
- ServiceNow
- Siemens
- SolarWinds
- SonicWall
- Sophos
- Spring Framework
- Synology
- TP-Link
- Trend Micro
- Veeam