مایکروسافت پچ هایی برای رفع آسیبپذیریهای امنیتی در ویندوز و آفیس منتشر کرده است؛ آسیبپذیریهایی که به گفته شرکت، هماکنون توسط هکرها برای نفوذ به رایانه کاربران مورد سوءاستفاده قرار میگیرند.
این حملات از نوع «یککلیک» هستند؛ یعنی هکر میتواند با حداقل تعامل کاربر، بدافزار نصب کند یا به سیستم قربانی دسترسی بگیرد. دستکم دو نقص امنیتی با فریب کاربر و وادار کردن او به کلیک روی یک لینک مخرب در ویندوز قابل بهرهبرداری است. یک مورد دیگر نیز با باز کردن یک فایل آلوده در آفیس میتواند منجر به نفوذ شود.
این آسیبپذیریها «روز صفر» نامیده میشوند، چون هکرها پیش از آنکه مایکروسافت فرصت رفع آنها را داشته باشد، از آنها استفاده کردهاند.
مایکروسافت اعلام کرد جزئیات نحوه سوءاستفاده از این باگها منتشر شده و این موضوع احتمال حملات را افزایش میدهد. شرکت نگفت این اطلاعات کجا منتشر شدهاند و سخنگوی مایکروسافت نیز در پاسخ به پرسش تککرانچ توضیحی ارائه نکرد. در گزارشهای مربوط به این باگها، مایکروسافت از همکاری پژوهشگران امنیتی گروه اطلاعات تهدید گوگل در کشف این آسیبپذیریها قدردانی کرده است.
مایکروسافت گفت یکی از این باگها با شناسه CVE-2026-21510 در «شل ویندوز» پیدا شده؛ بخشی که رابط کاربری سیستمعامل را مدیریت میکند. این نقص همه نسخههای پشتیبانیشده ویندوز را تحت تأثیر قرار میدهد. هنگامی که کاربر روی یک لینک مخرب کلیک میکند، این باگ به هکر اجازه میدهد از سد قابلیت SmartScreen عبور کند؛ قابلیتی که معمولاً لینکها و فایلهای مشکوک را برای جلوگیری از بدافزار بررسی میکند.
