Microsoft: Patches für Sicherheitslücken in Windows und Office
Microsoft hat Patches für Sicherheitslücken in Windows und Office veröffentlicht, die laut Angaben des Unternehmens von Hackern aktiv ausgenutzt werden, um sich Zugang zu Computern zu verschaffen.
Bei den Exploits handelt es sich um Ein-Klick-Angriffe, d. h., Hacker können mit minimaler Benutzerinteraktion Malware einschleusen oder sich Zugriff auf den Computer des Opfers verschaffen. Mindestens zwei Schwachstellen können ausgenutzt werden, indem jemand dazu verleitet wird, auf seinem Windows-Computer auf einen bösartigen Link zu klicken. Eine weitere Sicherheitslücke kann beim Öffnen einer bösartigen Office-Datei zu einer Kompromittierung führen.
Die Sicherheitslücken werden als Zero-Days bezeichnet, da die Hacker die Fehler ausnutzten, bevor Microsoft Zeit hatte, sie zu beheben.
Details zur Ausnutzung der Fehler wurden veröffentlicht, so Microsoft, was die Wahrscheinlichkeit von Hackerangriffen erhöhen könnte. Microsoft gab nicht bekannt, wo diese veröffentlicht wurden, und ein Microsoft-Sprecher äußerte sich auf Anfrage von TechCrunch nicht sofort dazu. In seinen Fehlerberichten würdigte Microsoft den Beitrag der Sicherheitsforscher der Threat Intelligence Group von Google bei der Entdeckung der Schwachstellen.
Microsoft gab an, dass einer der Fehler, der offiziell als CVE-2026-21510 verfolgt wird, in der Windows-Shell gefunden wurde, die die Benutzeroberfläche des Betriebssystems steuert. Der Fehler betrifft alle unterstützten Versionen von Windows, so das Unternehmen. Wenn ein Opfer auf einen bösartigen Link von seinem Computer aus klickt, ermöglicht der Fehler Hackern, die SmartScreen-Funktion von Microsoft zu umgehen, die normalerweise bösartige Links und Dateien auf Malware überprüft.
Laut dem Sicherheitsexperten Dustin Childs kann dieser Fehler ausgenutzt werden, um aus der Ferne Malware auf dem Computer des Opfers zu installieren.
Hier ist eine Benutzerinteraktion erforderlich, da der Client auf einen Link oder eine Verknüpfungsdatei klicken muss. Dennoch ist ein Ein-Klick-Fehler, mit dem Code ausgeführt werden kann, eine Seltenheit.
Ein Google-Sprecher bestätigte, dass der Windows-Shell-Fehler "weit verbreitet und aktiv ausgenutzt" werde, und erklärte, dass erfolgreiche Hackerangriffe die stille Ausführung von Malware mit hohen Berechtigungen ermöglichten, "was ein hohes Risiko für eine anschließende Kompromittierung des Systems, den Einsatz von Ransomware oder das Sammeln von Informationen darstellt".
Ein weiterer Windows-Bug, der als CVE-2026-21513 verfolgt wird, wurde in der proprietären Browser-Engine von Microsoft, MSHTML, gefunden, die den alten und längst eingestellten Internet Explorer-Browser antreibt. Er ist immer noch in neueren Versionen von Windows zu finden, um die Abwärtskompatibilität mit älteren Anwendungen zu gewährleisten.
Microsoft erklärte, dass dieser Bug es Hackern ermöglicht, die Sicherheitsfunktionen von Windows zu umgehen, um Malware zu installieren.
Laut dem unabhängigen Sicherheitsreporter Brian Krebs hat Microsoft außerdem drei weitere Zero-Day-Fehler in seiner Software gepatcht, die von Hackern aktiv ausgenutzt wurden.