Microsoft a lansat patch-uri pentru vulnerabilități de securitate în Windows și Office, despre care compania spune că sunt exploatate activ de hackeri pentru a pătrunde în computerele oamenilor.
Exploatările sunt atacuri de tipul "one-click", ceea ce înseamnă că un hacker poate plasa malware sau poate obține acces la computerul unei victime cu o interacțiune minimă a utilizatorului. Cel puțin două erori pot fi exploatate prin păcălirea cuiva să dea clic pe un link malițios de pe computerul său Windows. O altă eroare poate duce la un compromis la deschiderea unui fișier Office malițios.
Vulnerabilitățile sunt cunoscute sub numele de "zero-days", deoarece hackerii exploatau erorile înainte ca Microsoft să aibă timp să le remedieze. Detalii despre cum să exploatezi erorile au fost publicate, a spus Microsoft, crescând potențial șansele de hack-uri. Microsoft nu a spus unde au fost publicate și un purtător de cuvânt al Microsoft nu a comentat imediat când a fost contactat de TechCrunch. În rapoartele sale de erori, Microsoft a recunoscut contribuția cercetătorilor în securitate din Google's Threat Intelligence Group la descoperirea vulnerabilităților.
Microsoft a declarat că una dintre erori, urmărită oficial ca CVE-2026-21510, a fost găsită în shell-ul Windows, care alimentează interfața cu utilizatorul a sistemului de operare. Eroarea afectează toate versiunile suportate de Windows, a spus compania. Când o victimă dă clic pe un link malițios de pe computerul său, eroarea permite hackerilor să ocolească funcția SmartScreen a Microsoft care ar examina în mod obișnuit link-urile și fișierele malițioase pentru malware.
Potrivit expertului în securitate Dustin Childs, această eroare poate fi abuzată pentru a plasa de la distanță malware pe computerul victimei. "Există interacțiune cu utilizatorul aici, deoarece clientul trebuie să dea clic pe un link sau pe un fișier de comandă rapidă", a scris Childs în postarea sa de pe blog. "Cu toate acestea, o eroare de tip "one-click" pentru a obține execuția codului este o raritate."
Un purtător de cuvânt Google a confirmat că eroarea shell-ului Windows era supusă unei "exploatări active și răspândite" și a spus că hack-urile reușite au permis executarea silențioasă a malware-ului cu privilegii înalte, "reprezentând un risc ridicat de compromitere ulterioară a sistemului, implementare de ransomware sau colectare de informații."
O altă eroare Windows, urmărită ca CVE-2026-21513, a fost găsită în motorul de browser proprietar al Microsoft, MSHTML, care alimentează browserul său Internet Explorer, vechi și demult întrerupt. Se găsește încă în versiunile mai noi de Windows pentru a asigura compatibilitatea inversă cu aplicațiile mai vechi. Microsoft a spus că această eroare permite hackerilor să ocolească funcțiile de securitate din Windows pentru a plasa malware.
Potrivit reporterului independent de securitate Brian Krebs, Microsoft a corectat, de asemenea, alte trei erori zero-day în software-ul său care erau exploatate activ de hackeri.