2 月 12 日消息,微软已针对 Windows 和 Office 中的安全漏洞推出修复程序,该公司表示,这些漏洞正被黑客主动利用入侵用户电脑。
据了解,这些漏洞利用属于一键式攻击,意味着黑客只需用户极少操作,就能植入恶意软件或获取受害者电脑的访问权限。其中至少两个漏洞可通过诱使用户在 Windows 电脑上点击恶意链接实现利用,另一个则可在打开恶意 Office 文件时导致系统被入侵。
这些漏洞被称为零日漏洞,因为黑客在微软来得及修复之前就已经在利用它们进行攻击。
微软称,这些漏洞的利用细节已被公开,这可能会加大黑客攻击的风险。微软并未说明这些信息被发布在何处,在漏洞报告中,微软确认谷歌威胁情报团队的安全研究人员参与发现了这些漏洞。
微软表示,其中一个编号为 CVE-2026-21510 的漏洞存在于 Windows shell 中,该组件负责支撑操作系统的用户界面。微软称,此漏洞影响所有受支持的 Windows 版本。当受害者点击电脑上的恶意链接时,该漏洞可让黑客绕过微软的 SmartScreen 功能 —— 该功能通常会对恶意链接和文件进行恶意软件筛查。
安全专家达斯汀 · 蔡尔兹(Dustin Childs)表示,此漏洞可被用于远程在受害者电脑上植入恶意软件。
“这里需要用户交互,用户需要点击一个链接或快捷方式文件,”蔡尔兹在博客中写道,“即便如此,只需一次点击就能实现代码执行的漏洞仍然十分罕见。”
谷歌一位发言人证实,这个 Windows shell 漏洞正被大范围、主动利用,成功的攻击可让恶意软件以高权限静默执行,“极有可能导致后续系统被攻陷、勒索软件部署或信息窃取。”
另一个 Windows 漏洞编号为 CVE-2026-21513,存在于微软自研的浏览器引擎 MSHTML 中。该引擎曾用于早已停用的旧版 IE 浏览器,为保证对旧应用的向后兼容,其仍被保留在新版 Windows 里。
微软表示,该漏洞可让黑客绕过 Windows 安全功能植入恶意软件。
据独立安全记者布莱恩 · 克雷布斯(Brian Krebs)报道,微软还修复了其软件中另外三个正被黑客主动利用的零日漏洞。
