A Microsoft anunciou ter disponibilizado correcções para vulnerabilidades de segurança no Windows e no Office que, segundo a empresa, estavam a ser «exploradas activamente por hackers para entrar em computadores». Os ataques «exigiam apenas um clique», o que significava que um atacante podia «instalar malware ou obter acesso ao sistema com interacção mínima do utilizador», explica a empresa.
O método usado pelos hackers era tudo menos surpreendente: uma das falhas permitia ter acesso ao computador ao abrir um ficheiro malicioso do Office; outra, baseava-se num link. Estas vulnerabilidades foram classificadas pela Microsoft como «zero-day», uma vez que estavam a ser exploradas pelos atacantes antes de a empresa ter tido tempo para as corrigir.
Uma das falhas, identificada como CVE-2026-21510, foi detectada na shell do Windows, um «componente responsável pela interface do sistema operativo» e afectava todas as versões do Windows». Ao clicar no tal link malicioso, o utilizador permitia que o atacante contornasse a funcionalidade ‘SmartScreen’, que normalmente «analisa links e ficheiros suspeitos».
Outra vulnerabilidade, a CVE-2026-21513, foi encontrada no motor MSHTML, uma tecnologia proprietária da Microsoft que servia de base ao antigo Internet Explorer. Embora o browser tenha sido descontinuado, o MSHTML «continua a existir em versões recentes do Windows para assegurar compatibilidade com aplicações antigas».
Segundo a Microsoft, esta falha também possibilitava contornar mecanismos de segurança do Windows para instalar malware. Estas falhas já terão sido corrigidas, assim como outras três vulnerabilidades zero-day, das quais os hackers também estavam a tirar partido.
