El 13 de gener de 2026 Microsoft va publicar el primer Patch Tuesday de l’any i va corregir 114 vulnerabilitats al seu catàleg de productes (113 CVE segons la NVD). El que més crida l’atenció són tres zero-days: un d’explotat activament i dos que ja s’havien fet públics abans que arribés el pedaç. LinuxGratis és un directori centrat en sistemes lliures, però seguim de prop aquests butlletins perquè molts administradors porten entorns mixtos on Windows conviu amb Linux, i perquè diversos d’aquests errors afecten serveis exposats a la xarxa.
Què s’ha corregit
Així es reparteixen els 114 errors per tipus:
- 57 d’elevació de privilegis (EoP)
- 22 d’execució remota de codi (RCE)
- 22 de divulgació d’informació
- 5 de suplantació (spoofing)
- 3 de bypass de característica de seguretat
- 2 de denegació de servei
De tots ells 8 es van qualificar com a crítics: 6 d’execució remota de codi i 2 d’elevació de privilegis. Els productes afectats inclouen Windows 10 i 11, Windows Server, Microsoft Office, Excel, SQL Server i Azure.
Els tres zero-days
CVE-2026-20805 (Desktop Window Manager) és l’únic que s’està explotant activament. És una vulnerabilitat de divulgació d’informació que permet a un atacant local autenticat llegir adreces de memòria. A la pràctica serveix per derrotar l’aleatorització de l’espai d’adreces (ASLR) i combinar-se amb un error d’execució de codi, cosa que obre la porta a exploits fiables. CISA el va afegir al seu catàleg de Vulnerabilitats Explotades Conegudes (KEV) aquell mateix 13 de gener.
CVE-2026-21265 (Secure Boot) és un zero-day divulgat públicament que té a veure amb l’expiració de certificats de Microsoft emmagatzemats a UEFI (certificats de 2011 que caduquen entre juny i octubre de 2026). Els sistemes sense actualitzar tenen més números que s’evadeixin les proteccions de l’arrencada segura.
CVE-2023-31096 (driver Agere Soft Modem) també es va divulgar públicament. Aquest error d’elevació de privilegis viu en un driver de tercers que es distribuïa de manera nativa amb Windows, i es va resoldre eliminant els controladors vulnerables (agrsm64.sys i agrsm.sys) del sistema.
Errors crítics a vigilar
Entre les RCE crítiques del mes hi ha CVE-2026-20953 i CVE-2026-20952 a Microsoft Office, que s’exploten amb documents maliciosos. El panell de previsualització actua com a vector, així que la víctima pot acabar compromesa sense ni obrir el fitxer. CVE-2026-20854 afecta LSASS, el servei que gestiona l’autenticació i les polítiques de seguretat del sistema, i això el fa especialment delicat. Microsoft Excel va acumular diverses RCE crítiques que es disparen amb fulls de càlcul manipulats.
A qui afecta i mitigació
La gravetat global del butlletí és crítica, sobretot pel zero-day en ús actiu i les RCE d’Office, que es presten a campanyes de phishing massives. La mitigació és directa: aplicar les actualitzacions acumulatives de gener de 2026 mitjançant Windows Update o WSUS al més aviat possible, començant pels equips amb Office exposat al correu i els servidors que executen LSASS o rols de xarxa. Si gestiones entorns amb Linux i Windows barrejats, repassa també l’inventari de certificats Secure Boot pensant en la seva expiració al llarg de 2026.