微软修复高危漏洞：Windows快捷方式漏洞遭黑客滥用8年

12月5日消息，Windows系统规模庞大且复杂，某些功能模块难免存在安全漏洞，很容易被黑客发现并利用。即便是系统自带的快捷方式功能，也可能暗藏风险——最近微软就修复了一个潜伏多年的快捷方式相关漏洞。

相信很多人都知道快捷方式的后缀是.ink，但可能并不了解快捷方式的属性中可以添加命令行参数。这个功能原本非常实用，比如笔者在玩《暗黑破坏神》或《魔兽世界》时，就曾通过添加不同区域参数来启动对应的游戏客户端。

实际上，许多用户可能在不知不觉中就掉进了这个功能的陷阱。国内不少软件甚至流氓APP都喜欢在快捷方式中植入特定参数，以此达到篡改浏览器首页、防止用户恢复默认设置等目的。

这个功能也因此成为黑客的攻击目标。受害者在打开被篡改的快捷方式时就会中招，这类攻击手法至少从2017年就开始出现了。

这个漏洞被编号为CVE-2025-9491，但多年来微软一直未予修复，甚至拒绝了多家安全公司提交的补丁方案。微软认为该漏洞危险程度较低，不符合其服务标准。

不过在11月的补丁日之后，微软最终还是悄悄进行了修复。现在属性对话框会完整显示命令行内容，让黑客难以利用这个功能进行隐蔽攻击。

微软在10月31日发布的公告中表示，他们详细调查了安全软件公司发布的报告，确认这不构成标准意义上的安全漏洞。Microsoft Defender具备相应的检测功能来防范此类威胁活动，而Smart App Control功能通过阻止来自互联网的恶意文件，也提供了额外保护。