マイクロソフトは、WindowsとOfficeにおけるセキュリティ脆弱性の修正プログラムを発表しました。これらの脆弱性は、ハッカーによって積極的に悪用されているということです。
攻撃はワンクリックで行われ、ユーザーの最小限の操作でマルウェアを植え付けたり、コンピュータへのアクセスを得たりすることが可能です。少なくとも2つの脆弱性は、悪意のあるリンクをクリックさせることで悪用されるとしています。別の脆弱性は、悪意のあるOfficeファイルを開くことでコンピュータが侵害される可能性があります。
これらの脆弱性はゼロデイと呼ばれ、マイクロソフトが修正する前にハッカーが悪用していたということです。脆弱性の悪用方法の詳細が公開されているため、ハッキングの可能性が高まっているとしています。公開場所については明らかにされておらず、マイクロソフトの広報担当者はTechCrunchの取材に対してコメントをしていません。
マイクロソフトは、Googleの脅威情報グループのセキュリティ研究者の協力により、脆弱性を発見したことを認めています。脆弱性の1つであるCVE-2026-21510は、Windowsシェルに存在し、すべてのサポートされているWindowsバージョンに影響を与えるとしています。悪意のあるリンクをクリックすると、通常はマルウェアをスクリーニングするSmartScreen機能を回避できるとしています。
セキュリティ専門家のダスティン・チャイルズ氏によれば、このバグを利用してリモートでマルウェアを植え付けることが可能だということです。「ここではユーザーの操作が必要ですが、ワンクリックでコードを実行できるバグは珍しい」とチャイルズ氏はブログで述べています。
Googleの広報担当者は、Windowsシェルのバグが「広範囲かつ積極的に悪用されている」と確認し、成功したハッキングにより高い権限でマルウェアが静かに実行されることができると述べています。これにより、システムの侵害やランサムウェアの展開、情報収集の危険性が高まるとしています。
別のWindowsのバグであるCVE-2026-21513は、マイクロソフトのプロプライエタリブラウザーエンジンMSHTMLに存在します。これは、古いアプリとの互換性を確保するために、新しいWindowsバージョンにも残されています。このバグは、Windowsのセキュリティ機能を回避してマルウェアを植え付けることができるとしています。
独立系セキュリティ記者のブライアン・クレブス氏によれば、マイクロソフトはハッカーによって積極的に悪用されている他の3つのゼロデイバグも修正したということです。