微软近日发布安全更新，修复多项影响Windows和Office产品的安全漏洞。公司表示，这些漏洞已在实际攻击中被黑客积极利用，用于入侵用户计算机。

根据微软说明，上述漏洞属于“一键攻击”类型，攻击者只需诱导受害者进行极少量操作，即可在目标系统上植入恶意软件或获取访问权限。至少有两个漏洞可通过诱导用户在Windows设备上点击恶意链接加以利用，另一个漏洞则可通过打开恶意Office文件触发系统被攻破。

微软将这些安全缺陷归类为“零日漏洞”，即在公司发布修补程序之前，相关漏洞已被攻击者掌握并用于攻击。微软称，关于如何利用这些漏洞的技术细节已经被公开，这可能进一步提升相关攻击的风险。微软未披露具体公开渠道，且据报道，微软发言人在被科技媒体TechCrunch联系时未立即回应置评请求。

在漏洞报告中，微软表示，谷歌威胁情报团队的安全研究人员在发现这些漏洞的过程中提供了协助。谷歌方面也就其中一项漏洞的利用情况作出说明。

其中一项编号为CVE-2026-21510的漏洞存在于Windows Shell组件中。该组件负责驱动Windows操作系统的用户界面。微软称，该漏洞影响所有受支持的Windows版本。当受害者点击恶意链接时，攻击者可以借此绕过微软的SmartScreen安全功能。SmartScreen通常用于筛查恶意链接和文件中的恶意软件。

安全专家Dustin Childs在博客中表示，该漏洞可被远程滥用以植入恶意软件。他指出，虽然攻击需要用户点击链接或快捷方式文件，但“一键即可执行代码的漏洞非常罕见”。

谷歌一名发言人证实，针对Windows Shell的这一漏洞目前正处于“广泛且积极的利用”状态。该发言人称，成功利用该漏洞可在系统上静默执行高权限恶意软件，从而带来系统后续被攻破、勒索软件部署或情报收集等高风险。

另一项Windows漏洞编号为CVE-2026-21513，存在于微软专有浏览器引擎MSHTML中。该引擎曾用于已停产的Internet Explorer浏览器，但仍保留在新版Windows系统中，以支持旧有应用的兼容性。微软表示，该漏洞允许攻击者绕过Windows安全功能，在系统中植入恶意软件。

独立安全记者Brian Krebs则报道，除上述漏洞外，微软还修补了另外三项同样被黑客积极利用的零日漏洞。微软在本次更新中未进一步披露这些额外零日漏洞的技术细节。