微软修复 Windows 与 欧义Office 零日漏洞，黑客可一键绕过安全机制植入恶意软件

IT之家 2 月 12 日消息，微软微软已针对 Windows 和 Office 中的修复安全漏洞推出修复程序，该公司表示，日漏入恶欧义这些漏洞正被黑客主动利用入侵用户电脑。洞黑

据IT之家了解，键绕件这些漏洞利用属于一键式攻击，过安意味着黑客只需用户极少操作，全机就能植入恶意软件或获取受害者电脑的制植访问权限。其中至少两个漏洞可通过诱使用户在 Windows 电脑上点击恶意链接实现利用，意软另一个则可在打开恶意 Office 文件时导致系统被入侵。微软

这些漏洞被称为零日漏洞，修复欧义因为黑客在微软来得及修复之前就已经在利用它们进行攻击。日漏入恶

微软称，洞黑这些漏洞的键绕件利用细节已被公开，这可能会加大黑客攻击的过安风险。微软并未说明这些信息被发布在何处，在漏洞报告中，微软确认谷歌威胁情报团队的安全研究人员参与发现了这些漏洞。

微软表示，其中一个编号为 CVE-2026-21510 的漏洞存在于 Windows shell 中，该组件负责支撑操作系统的用户界面。微软称，此漏洞影响所有受支持的 Windows 版本。当受害者点击电脑上的恶意链接时，该漏洞可让黑客绕过微软的 SmartScreen 功能 —— 该功能通常会对恶意链接和文件进行恶意软件筛查。

安全专家达斯汀 · 蔡尔兹（Dustin Childs）表示，此漏洞可被用于远程在受害者电脑上植入恶意软件。

“这里需要用户交互，用户需要点击一个链接或快捷方式文件，”蔡尔兹在博客中写道，“即便如此，只需一次点击就能实现代码执行的漏洞仍然十分罕见。”

谷歌一位发言人证实，这个 Windows shell 漏洞正被大范围、主动利用，成功的攻击可让恶意软件以高权限静默执行，“极有可能导致后续系统被攻陷、勒索软件部署或信息窃取。”

另一个 Windows 漏洞编号为 CVE-2026-21513，存在于微软自研的浏览器引擎 MSHTML 中。该引擎曾用于早已停用的旧版 IE 浏览器，为保证对旧应用的向后兼容，其仍被保留在新版 Windows 里。

微软表示，该漏洞可让黑客绕过 Windows 安全功能植入恶意软件。

据独立安全记者布莱恩 · 克雷布斯（Brian Krebs）报道，微软还修复了其软件中另外三个正被黑客主动利用的零日漏洞。

很赞哦!（564）