Microsoft corrigió 114 vulnerabilidades, destacando varias críticas relacionadas con la ejecución remota de código en aplicaciones Office y servicios Windows como LSASS. Entre estas se identifican 12 CVEs de severidad crítica y más de 90 importantes, principalmente fallos de elevación de privilegios en controladores del kernel y servicios de administración. Tres zero-days presentan una alta probabilidad de explotación y afectan componentes como Desktop Windows Manager y manejo de medios digitales.
CVE y severidad
| CVE ID | Componente afectado | Resumen | Severidad | Probabilidad de explotación |
|---|---|---|---|---|
| CVE-2026-20805 | Desktop Windows Manager | Divulgación de información | Alta | Menos probable |
| CVE-2026-21265 | Windows Digital Media | Elevación de privilegio | Sin especificar | Menos probable |
| CVE-2023-31096 | No identificado (legado) | Zero-day (contextual) | Sin especificar | Menos probable |
| CVE-2026-20854 | Windows LSASS | Ejecución remota tras uso después de liberación (use-after-free) | Crítica | Menos probable |
| CVE-2026-20944 | Microsoft Word | Lectura fuera de límites, ejecución remota | Crítica | Más probable |
| CVE-2026-20953 | Microsoft Office | Ejecución remota tras uso después de liberación (use-after-free) | Crítica | Más probable |
Productos afectados
| Fabricante | Producto | Componente |
|---|---|---|
| Microsoft | Windows | LSASS, Desktop Windows Manager, Digital Media, Servicios Kernel, SMB Server, Win32k |
| Microsoft | Microsoft Office | Word, Excel, componentes Office diversas versiones soportadas en enero 2026 |
Solución
Aplicar las actualizaciones publicadas por Microsoft en enero de 2026, disponibles a través de WSUS y canales oficiales.
Recomendaciones
Se recomienda priorizar la instalación en sistemas expuestos a internet, en especial WSUS y servidores SMB, seguido por estaciones con Office; realizar pruebas en entornos controlados ante posibles regresiones. En dispositivos de consumo, habilitar actualizaciones automáticas y monitorizar avisos del CISA KEV por posibles nuevas incorporaciones relevantes a cero-días.
Referencias
- Microsoft Patch Tuesday January 2026 – 114 Vulnerabilities Fixed Including 3 Zero-days (Cyber Security News)
- NVD – CVE-2026-20805
- MITRE – CVE-2026-20805
- NVD – CVE-2026-21265
- MITRE – CVE-2026-21265
- NVD – CVE-2023-31096
- MITRE – CVE-2023-31096
- NVD – CVE-2026-20854
- MITRE – CVE-2026-20854
- NVD – CVE-2026-20944
- MITRE – CVE-2026-20944
- NVD – CVE-2026-20953
- MITRE – CVE-2026-20953