漏洞性质与影响 - 微软修复了Windows和Office中的安全漏洞 这些漏洞正被黑客积极利用以入侵用户计算机[1] - 这些漏洞属于零日漏洞 意味着黑客在微软修复之前就已开始利用[2] - 漏洞利用方式为一键式攻击 用户只需极少交互即可使黑客植入恶意软件或获取计算机访问权限[1] - 至少有两种漏洞可通过诱骗用户点击Windows计算机上的恶意链接来利用 另一种则通过打开恶意Office文件导致系统被入侵[1] 漏洞细节与风险 - 漏洞利用细节已被公开 这可能增加黑客攻击的可能性[3] - 其中一个编号为CVE-2026-21510的漏洞存在于提供操作系统用户界面的Windows Shell中 影响所有受支持的Windows版本[4] - 当受害者点击计算机上的恶意链接时 该漏洞允许黑客绕过通常用于筛查恶意链接和文件的Microsoft SmartScreen功能[4] - 安全专家Dustin Childs指出 该漏洞可被滥用于远程在受害者计算机上植入恶意软件 并强调一键式获取代码执行权限的漏洞很罕见[5] - 谷歌发言人证实Windows Shell漏洞正被“广泛、积极地利用” 成功的入侵允许以高权限静默执行恶意软件 带来后续系统被入侵、勒索软件部署或情报收集的高风险[5] 涉及的其他漏洞 - 另一个编号为CVE-2026-21513的Windows漏洞存在于微软的专有浏览器引擎MSHTML中 该引擎为其已停产的旧版Internet Explorer浏览器提供支持 但仍存在于新版Windows中以确保向后兼容[5] - 微软表示该漏洞允许黑客绕过Windows安全功能以植入恶意软件[6] - 独立安全记者Brian Krebs指出 微软还修复了其软件中另外三个正被黑客积极利用的零日漏洞[6] 漏洞发现与披露 - 微软在其漏洞报告中承认 谷歌威胁情报小组的安全研究人员为发现这些漏洞提供了信息[3]