微軟警告駭客正利用Windows和Office的關鍵零日漏洞發動攻擊
微軟已發布針對Windows和Office的關鍵零日漏洞修補程式,這些漏洞正被駭客積極利用。這些一鍵式攻擊允許攻擊者透過點擊惡意連結或開啟受感染檔案,來完全控制受害者的電腦。
主題
最新
AI
Amazon
應用程式
生物科技與健康
氣候
雲端運算
商務
加密貨幣
企業
電動車
金融科技
募資
小工具
遊戲
政府與政策
硬體
裁員
媒體與娛樂
Meta
微軟
隱私
機器人
安全
社交
太空
新創公司
TikTok
交通運輸
創投
更多來自 TechCrunch
員工
活動
新創戰場
StrictlyVC
電子報
Podcast
影片
合作夥伴內容
TechCrunch 品牌工作室
Crunchboard
聯絡我們
微軟表示駭客正在利用嚴重的零日漏洞來鎖定 Windows 和 Office 用戶
微軟已針對 Windows 和 Office 中的安全漏洞推出了修補程式,該公司表示駭客正在積極利用這些漏洞來入侵人們的電腦。
這些漏洞利用是一鍵式攻擊,意味著駭客只需極少的用戶互動即可植入惡意軟體或存取受害者的電腦。至少有兩個缺陷可以透過誘騙某人在其 Windows 電腦上點擊惡意連結來利用。另一個可能導致開啟惡意 Office 檔案時受到入侵。
這些漏洞被稱為零日漏洞,因為駭客在微軟有時間修復它們之前就已經在利用這些漏洞。
微軟表示,如何利用這些漏洞的細節已經被公開,這可能會增加駭客攻擊的機會。微軟沒有說明這些細節在哪裡被公開,而 TechCrunch 聯繫微軟發言人時,他們沒有立即發表評論。在其錯誤報告中,微軟承認 Google 威脅情報小組的安全研究人員在發現這些漏洞時提供的意見。
微軟表示,其中一個錯誤,正式追蹤為 CVE-2026-21510,是在 Windows shell 中發現的,該 shell 為作業系統的使用者介面提供動力。該公司表示,該錯誤影響所有支援的 Windows 版本。當受害者從其電腦點擊惡意連結時,該錯誤允許駭客繞過微軟的 SmartScreen 功能,該功能通常會篩選惡意連結和檔案中的惡意軟體。
根據安全專家 Dustin Childs 的說法,這個錯誤可能被濫用來遠端植入惡意軟體到受害者的電腦上。
「這裡存在使用者互動,因為客戶端需要點擊連結或捷徑檔案,」Childs 在一篇部落格文章中寫道。「儘管如此,獲得程式碼執行權限的一鍵式錯誤仍然很少見。」
Google 發言人證實,Windows shell 錯誤正在「廣泛、積極地被利用」,並表示成功的駭客攻擊允許以高權限靜默執行惡意軟體,「對後續的系統入侵、勒索軟體部署或情報收集構成高度風險。」
另一個 Windows 錯誤,追蹤為 CVE-2026-21513,是在微軟的專有瀏覽器引擎 MSHTML 中發現的,該引擎為其傳統且早已停止使用的 Internet Explorer 瀏覽器提供動力。它仍然存在於較新版本的 Windows 中,以確保與較舊應用程式的向後相容性。
微軟表示,這個錯誤允許駭客繞過 Windows 中的安全功能來植入惡意軟體。
根據獨立安全記者 Brian Krebs 的說法,微軟還修補了其軟體中的其他三個零日漏洞,這些漏洞正在被駭客積極利用。
相關文章