微软修复 Windows 与 Office 零日漏洞，黑客可一键绕过安全机制植入恶意软件

2 月 12 日消息，微软已针对 Windows 和 Office 中的安全漏洞推出修复程序，该公司表示，这些漏洞正被黑客主动利用入侵用户电脑。

据了解，这些漏洞利用属于一键式攻击，意味着黑客只需用户极少操作，就能植入恶意软件或获取受害者电脑的访问权限。其中至少两个漏洞可通过诱使用户在 Windows 电脑上点击恶意链接实现利用，另一个则可在打开恶意 Office 文件时导致系统被入侵。

这些漏洞被称为零日漏洞，因为黑客在微软来得及修复之前就已经在利用它们进行攻击。

微软称，这些漏洞的利用细节已被公开，这可能会加大黑客攻击的风险。微软并未说明这些信息被发布在何处，在漏洞报告中，微软确认谷歌威胁情报团队的安全研究人员参与发现了这些漏洞。

微软表示，其中一个编号为 CVE-2026-21510 的漏洞存在于 Windows shell 中，该组件负责支撑操作系统的用户界面。微软称，此漏洞影响所有受支持的 Windows 版本。当受害者点击电脑上的恶意链接时，该漏洞可让黑客绕过微软的 SmartScreen 功能 —— 该功能通常会对恶意链接和文件进行恶意软件筛查。

安全专家达斯汀 · 蔡尔兹（Dustin Childs）表示，此漏洞可被用于远程在受害者电脑上植入恶意软件。

“这里需要用户交互，用户需要点击一个链接或快捷方式文件，”蔡尔兹在博客中写道，“即便如此，只需一次点击就能实现代码执行的漏洞仍然十分罕见。”

谷歌一位发言人证实，这个 Windows shell 漏洞正被大范围、主动利用，成功的攻击可让恶意软件以高权限静默执行，“极有可能导致后续系统被攻陷、勒索软件部署或信息窃取。”

另一个 Windows 漏洞编号为 CVE-2026-21513，存在于微软自研的浏览器引擎 MSHTML 中。该引擎曾用于早已停用的旧版 IE 浏览器，为保证对旧应用的向后兼容，其仍被保留在新版 Windows 里。

微软表示，该漏洞可让黑客绕过 Windows 安全功能植入恶意软件。

据独立安全记者布莱恩 · 克雷布斯（Brian Krebs）报道，微软还修复了其软件中另外三个正被黑客主动利用的零日漏洞。