快更新！微軟證實Windows爆嚴重「零時差漏洞」 點個連結就中招

記者鄧天心／綜合報導

微軟(Microsoft)近日釋出安全性更新，緊急修補Windows與Office產品中的多項漏洞，官方證實，這些安全缺陷正遭到駭客入侵用戶電腦。

這些攻擊手法被稱為「一鍵攻擊」(one-click attacks)，意味著駭客只需誘使用戶進行極少的操作，就能在受害者電腦植入惡意軟體或取得存取權限。目前已知至少有兩個漏洞，是透過誘騙用戶在Windows電腦上點擊惡意連結來觸發；另一個漏洞則是在開啟惡意Office檔案時，會導致系統遭駭客入侵。

延伸閱讀：

叫AI幫你「喬行程」會出事？Claude驚傳漏洞 串連Gmail日曆恐中毒

這些漏洞屬於「零時差漏洞」(zero-days)，意指駭客在微軟尚未有時間發布修補程式之前，就已經發現並利用這些Bug發動攻擊。

微軟坦言，關於如何利用這些漏洞的細節已遭公開，這可能大幅增加用戶遭駭的風險。雖然微軟未說明細節外洩的具體來源，且微軟發言人面對科技媒體《TechCrunch》詢問時暫無回應，但在官方漏洞報告中，微軟特別感謝Google威脅情資團隊(Threat Intelligence Group)的安全研究人員協助揪出這些漏洞。

微軟指出，其中一個被官方編號為CVE-2026-21510的漏洞存在於Windows Shell中，這是負責運作作業系統使用者介面的核心元件。官方表示，此漏洞影響所有受支援的Windows版本。當受害者在電腦上點擊惡意連結時，該漏洞允許駭客繞過原本用來過濾惡意連結與檔案的微軟SmartScreen防護機制。

根據資安專家Dustin Childs分析，此漏洞可被濫用來「遠端植入」惡意軟體到受害者的電腦上，Childs在部落格文章中寫道：「這確實涉及使用者互動，因為客戶端需要點擊連結或捷徑檔案。不過，只需『點一下』就能取得程式碼執行權限的漏洞相當罕見。」

Google發言人證實，該Windows Shell漏洞正處於「廣泛且積極的濫用中」，並指出一旦入侵成功，駭客便能在擁有高權限的情況下靜默執行惡意軟體，這將構成後續系統全面淪陷、遭部署勒索軟體或機密情資遭竊的高度風險。

另一個編號為CVE-2026-21513的Windows漏洞，則發現於微軟專有的瀏覽器引擎MSHTML中。該引擎原本用於驅動已停止更新的舊版Internet Explorer瀏覽器，但為了確保與舊應用程式的向下相容性，新版Windows系統中仍保留了此元件。

微軟表示，此漏洞允許駭客繞過Windows的安全功能以植入惡意軟體，此外，根據獨立資安記者Brian Krebs報導，微軟此次更新還同步修補了軟體中另外三個同樣正遭駭客積極利用的零時差漏洞。

資料來源：techcrunch