Microsoft 针对 Windows 和 Office 中的一系列零日漏洞发布了安全更新,这些漏洞正被攻击者积极利用。该公司将这些漏洞描述为一键式攻击,可以安装恶意软件或以最少的用户交互授予未经授权的访问权限。
当用户单击 Windows 计算机上的恶意链接时,可能会触发其中两个缺陷,而当打开恶意 Office 文件时,第三个缺陷可能会危及系统。微软将这些错误归类为零日漏洞,因为它们是在补丁可用之前就被使用的。
漏洞利用方法的详细信息已经公布,增加了进一步攻击的风险。微软没有透露所发布细节的来源,当被问及该出版物时,发言人也没有立即向 TechCrunch 发表评论。
谷歌威胁情报小组的安全研究人员发现了这些漏洞。其中一个错误被标识为 CVE-2026-21510,存在于为操作系统用户界面提供支持的 Windows shell 中,并影响所有受支持的 Windows 版本。当受害者单击恶意链接时,该漏洞会绕过 Microsoft 的 SmartScreen 过滤器,该过滤器通常会阻止恶意链接和文件。
安全专家达斯汀·柴尔兹指出该漏洞可用于远程植入恶意软件。 “这里有用户交互,因为客户需要单击链接或快捷方式文件,”查尔兹在他的博客文章中写道。 “不过,通过一键式错误来获得代码执行的情况还是很少见的。”
谷歌发言人证实,Windows shell 漏洞正受到“广泛、主动的利用”,可以实现高权限恶意软件的静默执行,从而增加勒索软件部署或情报收集的风险。
第二个 Windows 零日漏洞 CVE-2026-21513 位于 Microsoft 专有的 MSHTML 浏览器引擎中,最初由 Internet Explorer 使用,保留是为了向后兼容。微软表示,该缺陷允许攻击者绕过Windows安全控制来安装恶意软件。
独立安全记者布莱恩·克雷布斯 (Brian Krebs) 报道称,微软还修补了另外三个正在被积极利用的零日漏洞,但公告中并未披露这些漏洞的详细信息。
微软的回应包括针对所有已识别的零日漏洞发布补丁,敦促用户立即应用更新以降低受损风险。
<小时/>
