A Microsoft lançou correções para vulnerabilidades de segurança no Home windows e no Workplace, que, segundo a empresa, estão sendo ativamente utilizadas por hackers para invadir os computadores das pessoas.
As explorações são ataques de um clique, o que significa que um hacker pode plantar malware ou obter acesso ao computador da vítima com interação mínima do usuário. Pelo menos duas falhas podem ser exploradas enganando alguém para que clique em um hyperlink malicioso em seu computador Home windows. Outro pode resultar no comprometimento da abertura de um arquivo malicioso do Workplace.
As vulnerabilidades são conhecidas como zero-day, porque os hackers exploraram os bugs antes que a Microsoft tivesse tempo de corrigi-los.
Detalhes sobre como explorar os bugs foram publicados, disse a Microsoft, aumentando potencialmente an opportunity de hacks. A Microsoft não disse onde foram publicados e um porta-voz da Microsoft não comentou imediatamente quando contatado pelo TechCrunch. Em seus relatórios de bugs, a Microsoft reconheceu a contribuição dos pesquisadores de segurança do Risk Intelligence Group do Google na descoberta das vulnerabilidades.
A Microsoft disse que um dos bugs, oficialmente rastreado como CVE-2026-21510foi encontrado no shell do Home windows, que alimenta a interface de usuário do sistema operacional. O bug afeta todas as versões suportadas do Home windows, disse a empresa. Quando uma vítima clica em um hyperlink malicioso de seu computador, o bug permite que os hackers contornem o recurso SmartScreen da Microsoft, que normalmente rastreia hyperlinks e arquivos maliciosos em busca de malware.
De acordo com especialista em segurança Dustin Childsesse bug pode ser usado para plantar malware remotamente no computador da vítima.
“Aqui há interação do usuário, pois o cliente precisa clicar em um hyperlink ou arquivo de atalho”, escreveu Childs em seu weblog. “Ainda assim, um bug de um clique para obter execução de código é uma raridade.”
Um porta-voz do Google confirmou que o bug do shell do Home windows estava sob “exploração ativa e generalizada” e disse que hacks bem-sucedidos permitiram a execução silenciosa de malware com altos privilégios, “representando um alto risco de comprometimento subsequente do sistema, implantação de ransomware ou coleta de inteligência”.
Outro bug do Home windows, rastreado como CVE-2026-21513foi encontrado no mecanismo de navegador proprietário da Microsoft, MSHTML, que alimenta seu navegador Web Explorer legado e há muito descontinuado. Ainda é encontrado em versões mais recentes do Home windows para garantir compatibilidade com versões anteriores de aplicativos mais antigos.
A Microsoft disse que esse bug permite que hackers contornem os recursos de segurança do Home windows para plantar malware.
De acordo com o repórter de segurança independente Brian Krebs, a Microsoft também corrigiu três outros bugs de dia zero em seu software program que estavam sendo ativamente explorados por hackers.
