A Microsoft lançou correções para vulnerabilidades de segurança no Windows e no Office que, segundo a empresa, estão sendo ativamente exploradas por hackers para invadir os computadores das pessoas.
A exploração é a seguinte ataque com um cliqueIsso significa que um hacker pode plantar malware ou obter acesso ao computador da vítima com interação mínima do usuário. Pelo menos duas falhas poderiam ser exploradas enganando alguém para que clicasse em um link malicioso em um computador Windows. A segurança também pode ser comprometida ao abrir arquivos maliciosos do Office.
As vulnerabilidades são conhecidas como: dia zeroIsso porque os hackers estavam explorando o bug antes que a Microsoft o corrigisse.
A Microsoft disse que detalhes de como o bug poderia ser explorado foram divulgados, o que poderia aumentar a probabilidade de invasão. A Microsoft não disse onde foram publicados e um porta-voz da Microsoft não comentou imediatamente ao TechCrunch. Em um relatório de bug, a Microsoft reconheceu que pesquisadores de segurança do grupo Threat Intelligence do Google ajudaram a descobrir a vulnerabilidade.
A Microsoft disse que um dos bugs está sendo rastreado oficialmente. CVE-2026-21510encontrado no shell do Windows que aprimora a interface do usuário do sistema operacional. A empresa afirma que o bug afeta todas as versões suportadas do Windows. Se uma vítima clicar em um link malicioso de seu computador, o bug permite que os hackers contornem o recurso SmartScreen da Microsoft, que normalmente rastreia links e arquivos maliciosos em busca de malware.
De acordo com Especialista em segurança Dustin Childsesse bug pode ser explorado da seguinte maneira: Instale malware remotamente no computador da vítima.
“A interação do usuário é necessária aqui, pois o cliente deve clicar no link ou arquivo de atalho”, escreveu Childs em uma postagem no blog. “Ainda assim, bugs onde o código é executado com um único clique são raros.”
Um porta-voz do Google reconheceu que o bug do Windows Shell está sendo “ampla e ativamente explorado” e disse que um hack bem-sucedido poderia permitir que o malware fosse executado silenciosamente com privilégios elevados, “criando um alto risco de comprometimento subsequente do sistema, implantação de ransomware e coleta de inteligência”.
Rastreado como um bug separado do Windows. CVE-2026-21513é encontrado em MSHTML, mecanismo de navegador proprietário da Microsoft. MSHTML alimenta o antigo navegador Internet Explorer, há muito extinto. Ele ainda está incluído nas versões mais recentes do Windows para garantir compatibilidade com aplicativos mais antigos.
A Microsoft disse que o bug pode permitir que hackers contornem os recursos de segurança do Windows e introduzam malware.
De acordo com o repórter independente de segurança Brian Krebs, a Microsoft também aplicou o patch. Três outros bugs de dia zero Esse software estava sendo explorado ativamente por hackers.
