Microsoft hat Sicherheitsupdates für eine Reihe von Zero-Day-Schwachstellen in Windows und Office veröffentlicht, die von Angreifern aktiv ausgenutzt werden. Das Unternehmen beschrieb die Exploits als Ein-Klick-Angriffe, die mit minimaler Benutzerinteraktion Malware installieren oder unbefugten Zugriff gewähren können.
Zwei der Schwachstellen können ausgelöst werden, wenn ein Benutzer auf einem Windows-Computer auf einen schädlichen Link klickt, während ein dritter Fehler ein System gefährden kann, wenn eine schädliche Office-Datei geöffnet wird. Microsoft hat die Fehler als Zero-Day-Fehler eingestuft, da sie bereits vor der Verfügbarkeit von Patches genutzt wurden.
Details zu den Ausnutzungsmethoden wurden veröffentlicht, was das Risiko weiterer Angriffe erhöht. Microsoft gab die Quelle der veröffentlichten Details nicht bekannt und ein Sprecher äußerte sich nicht sofort zu TechCrunch, als er nach der Veröffentlichung gefragt wurde.
Sicherheitsforschern der Threat Intelligence Group von Google wird die Entdeckung der Schwachstellen zugeschrieben. Einer der Fehler, identifiziert als CVE-2026-21510, befindet sich in der Windows-Shell, die die Benutzeroberfläche des Betriebssystems antreibt, und betrifft alle unterstützten Windows-Versionen. Wenn ein Opfer auf einen schädlichen Link klickt, umgeht die Sicherheitslücke den SmartScreen-Filter von Microsoft, der normalerweise schädliche Links und Dateien blockiert.
Der Sicherheitsexperte Dustin Childs stellte fest, dass der Fehler dazu genutzt werden kann, Malware aus der Ferne einzuschleusen. „Hier findet eine Benutzerinteraktion statt, da der Kunde auf einen Link oder eine Verknüpfungsdatei klicken muss“, schrieb Childs in seinem Blogbeitrag. „Dennoch ist ein One-Click-Bug zur Codeausführung eine Seltenheit.“
Ein Google-Sprecher bestätigte, dass die Sicherheitslücke in der Windows-Shell einer „weit verbreiteten, aktiven Ausnutzung“ unterliegt und die stille Ausführung hochprivilegierter Malware ermöglichen kann, was das Risiko der Verbreitung von Ransomware oder der Sammlung von Informationen erhöht.
Der zweite Zero-Day von Windows, CVE-2026-21513, befindet sich in der proprietären MSHTML-Browser-Engine von Microsoft, die ursprünglich von Internet Explorer verwendet wurde und aus Gründen der Abwärtskompatibilität beibehalten wird. Laut Microsoft ermöglicht die Schwachstelle es Angreifern, Windows-Sicherheitskontrollen zu umgehen und Malware zu installieren.
Der unabhängige Sicherheitsreporter Brian Krebs berichtete, dass Microsoft außerdem drei weitere Zero-Day-Bugs gepatcht habe, die aktiv ausgenutzt würden, obwohl die Details dieser Schwachstellen in der Ankündigung nicht offengelegt wurden.
Die Reaktion von Microsoft umfasst die Veröffentlichung von Patches für alle identifizierten Zero-Day-Bugs und fordert die Benutzer auf, die Updates umgehend anzuwenden, um das Risiko einer Kompromittierung zu mindern.
