Zaktualizuj Windowsa. Wydano pierwsze poprawki w 2026 roku

W tym miesiącu sprawozdanie MSRC nie zawiera żadnych podatności o punktacji CVSS 9 i wyższej. Na samej górze listy znajduje się, kolejny już raz, Routing i Dostęp Zdalny (RRAS). Tym razem, poza tą domyślnie włączoną usługą, w celu wykorzystania tej podatności potrzebne jest także członkostwo w domenie. Dziura ta dzieli podium z podatnością w Windows Server Update Services, umożliwiającą zdalne wykonanie kodu. Atak na nią jest możliwy w środowiskach firmowych i wymaga zaawansowanej wiedzy na temat struktury sieci.

Trzecia pod względem impaktu jest dziura w sterowniku do modemów szeregowych Motoroli, w wariancie dostarczanym wraz z systemem. Sterownik ten, nieutrzymywany już przez dostawcę, został usunięty z Windowsa. Choć problemy z bezpieczeństwem znaleziono tylko w kilku sterownikach, Windows zawiera wiele innych zewnętrznych sterowników, które od dawna nie są już rozwijane. Liczba podatności może więc rosnąć, więc spodziewane jest usunięcie (lub przesunięcie do Windows Update) większej ilości sterowników już wkrótce.

Anonimowy użytkownik zgłosił także kilkanaście podatności w składniku "Windows Management Services", choć taka nazwa nie mówi dokładnie, o jaki komponent naprawdę chodzi. Prawdopodobnie dziury znajdują się w WMI, choć na szczęście wszystkie są oznaczone jako lokalne. To dość wewnętrzny, niewidoczny mechanizm. Podobnie, jak Secure Boot. Styczniowe aktualizacje wprowadzają kolejny krok działania mechanizmu odświeżenia certyfikatów Secure Boot, wymieniając wygasający w czerwcu CA 2011 na nowy: CA 2023.

O wiele ciekawsza jest podatność o niepozornej nazwie "Host Process for Windows Tasks Elevation of Privilege Vulnerability". Choć podsumowanie informuje, że problem zlokalizowany jest w rozwiązywaniu ścieżek plików (częsta podatność dotycząca np. ścieżek względnych), prawdziwe oblicze dziury ukazuje sekcja Workarounds, opisująca środki mitygujące i zaradcze, przeznaczona dla osób które nie mogą zainstalować poprawki. Przedstawiono tam zaplanowane zadanie systemowego Harmonogramu Zadań, które należy wyłączyć. Jest to zadanie "PolicyConfiguration" o identyfikatorze klasy {0BE6820D-B667-4CB6-931B-C153A77DA895}.

Zadanie to znajduje się w katalogu \Microsoft\Windows\WindowsAI\Recall. A więc mamy do czynienia z pierwszą poprawką bezpieczeństwa do mechanizmu Windows Recall. Warto zwrócić uwagę na to, że jest ona całkowicie niepowiązana z wyeliminowanymi już częściowo słabościami bezpieczeństwa w Recall, które wypunktowano jeszcze przed premierą tej usługi. Jest to dopiero początek problemów z bezpieczeństwem AI w Windows. Zupełnie inną, nadchodzącą kategorią zagrożeń będą rozwiązania agentowe.

Styczeń okazał się bardzo litościwy dla użytkowników Windowsów. Łatane podatności nie są szczególnie poważne lub nie dotyczą przeciętnych użytkowników. Istotniejszą kwestią dotyczącą aktualizacji w styczniu jest fakt wydania ostatnich poprawek dla Windows Server 2008 i 2008 R2, pasujących także do systemów Windows 7 i Windows Vista. Są to systemy mniejsze (2,94GB dla 2008 R2) niż najnowsza poprawka zbiorcza dla Windows 11 (4,17GB).