Microsoft pakt Windows- en Office-kwetsbaarheden aan

De kwetsbaarheden maken zogenaamde one-click attacks mogelijk, waarbij een hacker met minimale interactie van de gebruiker malware kan installeren of toegang kan krijgen tot een systeem. Minstens twee van de lekken kunnen worden uitgebuit door slachtoffers een kwaadaardige link te laten aanklikken op hun Windows-computer. Een derde lek kan leiden tot een inbreuk wanneer een kwaadaardig Office-bestand wordt geopend.

Het gaat om zogeheten zero-day kwetsbaarheden, die nog niet openbaar zijn gemaakt. Microsoft waarschuwt dat details over de kwetsbaarheden online worden gedeeld, wat het risico op aanvallen vergroot.

Lek in Windows-shell

Een van de lekken (CVE-2026-21510) bevindt zich in de Windows-shell, die verantwoordelijk is voor de gebruikersinterface van het besturingssysteem. Het lek treft alle ondersteunde versies van Windows. Wanneer een slachtoffer op een kwaadaardige link klikt, kunnen hackers de beveiligingsfunctie SmartScreen omzeilen, die normaal gesproken kwaadaardige links en bestanden scant op malware.

Een tweede lek (CVE-2026-21513) zit in Microsofts eigen browserengine MSHTML, die wordt gebruikt in de verouderde en niet langer ondersteunde Internet Explorer. Deze engine is nog steeds aanwezig in nieuwere versies van Windows om compatibiliteit met oudere applicaties te waarborgen. Volgens Microsoft stelt dit lek hackers in staat om beveiligingsfuncties in Windows te omzeilen en malware te installeren.

Een derde lek (CVE-2026-21514) zit in Microsoft Word. Via dit lek kan een aanvaller ingebouwde bescherming tegen embedded content omzeilen, wat aanvallen mogelijk maakt waarbij op afstand code wordt uitgevoerd op aangevallen systemen.