详细内容或原文请订阅后点击阅览
2026 年 2 月补丁星期二包括六个被积极利用的零日漏洞
微软的二月补丁星期二修复了 59 个缺陷,其中包括 6 个已经受到主动攻击的零日漏洞。他们有多糟糕?
来源:Malwarebytes Labs 博客Microsoft 在每月的第二个星期二(称为“补丁星期二”)发布重要的安全更新。本月的更新补丁修复了 59 个 Microsoft CVE,其中包括 6 个零日漏洞。
让我们快速浏览一下这六个被积极利用的零日漏洞。
Windows Shell 安全功能绕过漏洞
CVE-2026-21510(CVSS 得分 8.8,满分 10)是 Windows Shell 中的安全功能绕过。一旦保护机制失败,攻击者一旦说服用户打开恶意链接或快捷方式文件,就可以绕过 Windows SmartScreen 和类似提示。
该漏洞通过网络被利用,但仍然需要用户交互。受害者必须通过社交工程启动诱杀快捷方式或链接才能触发旁路。成功的利用可以让攻击者抑制或逃避通常的“你确定吗?”针对不受信任的内容的安全对话框,使交付和执行更多有效负载变得更加容易,而不会引起用户怀疑。
MSHTML 框架安全功能绕过漏洞
CVE-2026-21513(CVSS 得分 8.8(满分 10))影响 MSHTML 框架,该框架由 Internet Explorer 的 Trident/嵌入式 Web 渲染使用。它被归类为保护机制故障,导致安全功能绕过网络。
成功的攻击需要受害者打开恶意 HTML 文件或利用 MSHTML 进行渲染的精心设计的快捷方式 (.lnk)。一旦打开,该缺陷允许攻击者绕过 MSHTML 中的某些安全检查,可能会删除或削弱正常浏览器或 Office 沙箱或警告保护,并导致后续代码执行或网络钓鱼活动。
Microsoft Word 安全功能绕过漏洞
CVE-2026-21514(CVSS 评分 5.5,满分 10)影响 Microsoft Word。它依赖于安全决策中不受信任的输入,从而导致本地安全功能绕过。