Techcrunch
Critical security flaws targeting Windows and Office users allow hackers to take complete control of a victim's computer by clicking a malicious link or opening a file. Patch now.
AI 生成摘要
微軟已發布針對Windows和Office的關鍵零日漏洞修補程式,這些漏洞正被駭客積極利用。這些一鍵式攻擊允許攻擊者透過點擊惡意連結或開啟受感染檔案,來完全控制受害者的電腦。
最新
AI
Amazon
應用程式
生物科技與健康
氣候
雲端運算
商務
加密貨幣
企業
電動車
金融科技
募資
小工具
遊戲
政府與政策
硬體
裁員
媒體與娛樂
Meta
微軟
隱私
機器人
安全
社交
太空
新創公司
TikTok
交通運輸
創投
員工
活動
新創戰場
StrictlyVC
電子報
Podcast
影片
合作夥伴內容
TechCrunch 品牌工作室
Crunchboard
聯絡我們
微軟已針對 Windows 和 Office 中的安全漏洞推出了修補程式,該公司表示駭客正在積極利用這些漏洞來入侵人們的電腦。
這些漏洞利用是一鍵式攻擊,意味著駭客只需極少的用戶互動即可植入惡意軟體或存取受害者的電腦。至少有兩個缺陷可以透過誘騙某人在其 Windows 電腦上點擊惡意連結來利用。另一個可能導致開啟惡意 Office 檔案時受到入侵。
這些漏洞被稱為零日漏洞,因為駭客在微軟有時間修復它們之前就已經在利用這些漏洞。
微軟表示,如何利用這些漏洞的細節已經被公開,這可能會增加駭客攻擊的機會。微軟沒有說明這些細節在哪裡被公開,而 TechCrunch 聯繫微軟發言人時,他們沒有立即發表評論。在其錯誤報告中,微軟承認 Google 威脅情報小組的安全研究人員在發現這些漏洞時提供的意見。
微軟表示,其中一個錯誤,正式追蹤為 CVE-2026-21510,是在 Windows shell 中發現的,該 shell 為作業系統的使用者介面提供動力。該公司表示,該錯誤影響所有支援的 Windows 版本。當受害者從其電腦點擊惡意連結時,該錯誤允許駭客繞過微軟的 SmartScreen 功能,該功能通常會篩選惡意連結和檔案中的惡意軟體。
根據安全專家 Dustin Childs 的說法,這個錯誤可能被濫用來遠端植入惡意軟體到受害者的電腦上。
「這裡存在使用者互動,因為客戶端需要點擊連結或捷徑檔案,」Childs 在一篇部落格文章中寫道。「儘管如此,獲得程式碼執行權限的一鍵式錯誤仍然很少見。」
Google 發言人證實,Windows shell 錯誤正在「廣泛、積極地被利用」,並表示成功的駭客攻擊允許以高權限靜默執行惡意軟體,「對後續的系統入侵、勒索軟體部署或情報收集構成高度風險。」
另一個 Windows 錯誤,追蹤為 CVE-2026-21513,是在微軟的專有瀏覽器引擎 MSHTML 中發現的,該引擎為其傳統且早已停止使用的 Internet Explorer 瀏覽器提供動力。它仍然存在於較新版本的 Windows 中,以確保與較舊應用程式的向後相容性。
微軟表示,這個錯誤允許駭客繞過 Windows 中的安全功能來植入惡意軟體。
根據獨立安全記者 Brian Krebs 的說法,微軟還修補了其軟體中的其他三個零日漏洞,這些漏洞正在被駭客積極利用。
主題
安全編輯
Zack Whittaker 是 TechCrunch 的安全編輯。他還撰寫每週網路安全電子報,本週安全。
可以透過 Signal 上的加密訊息 zackwhittaker.1337 與他聯繫。您也可以透過電子郵件與他聯繫,或驗證外展,電子郵件地址為 [email protected]。
門票現已開始發售,價格為今年最低。立即節省高達 680 美元的通行證。與投資者會面。發現您的下一個投資組合公司。聽取 250 多位科技領袖的意見,深入研究 200 多場會議,並探索 300 多家正在構建未來的新創公司。不要錯過這些一次性的優惠。
倦怠的第一個跡象來自於最擁抱 AI 的人
MrBeast 的公司收購了以 Z 世代為中心的金融科技應用程式 Step
YouTube TV 推出更便宜的組合,包括每月 65 美元的體育套餐
Discord 將於下個月推出年齡驗證
對 OpenAI 決定停用 GPT-4o 的強烈反對表明了 AI 伴侶有多危險
OpenAI 在 Anthropic 發布自己的代理編碼模型後僅幾分鐘就推出了新的代理編碼模型
Anthropic 發布了帶有新「代理團隊」的 Opus 4.6
© 2025 TechCrunch Media LLC.