12月5日消息,Windows系统规模庞大且复杂,某些功能模块难免存在安全漏洞,很容易被黑客发现并利用。即便是系统自带的快捷方式功能,也可能暗藏风险——最近微软就修复了一个潜伏多年的快捷方式相关漏洞。
相信很多人都知道快捷方式的后缀是.ink,但可能并不了解快捷方式的属性中可以添加命令行参数。这个功能原本非常实用,比如笔者在玩《暗黑破坏神》或《魔兽世界》时,就曾通过添加不同区域参数来启动对应的游戏客户端。
实际上,许多用户可能在不知不觉中就掉进了这个功能的陷阱。国内不少软件甚至流氓APP都喜欢在快捷方式中植入特定参数,以此达到篡改浏览器首页、防止用户恢复默认设置等目的。
这个功能也因此成为黑客的攻击目标。受害者在打开被篡改的快捷方式时就会中招,这类攻击手法至少从2017年就开始出现了。
这个漏洞被编号为CVE-2025-9491,但多年来微软一直未予修复,甚至拒绝了多家安全公司提交的补丁方案。微软认为该漏洞危险程度较低,不符合其服务标准。
不过在11月的补丁日之后,微软最终还是悄悄进行了修复。现在属性对话框会完整显示命令行内容,让黑客难以利用这个功能进行隐蔽攻击。
微软在10月31日发布的公告中表示,他们详细调查了安全软件公司发布的报告,确认这不构成标准意义上的安全漏洞。Microsoft Defender具备相应的检测功能来防范此类威胁活动,而Smart App Control功能通过阻止来自互联网的恶意文件,也提供了额外保护。

