已被黑客滥用了8年多 微软终于修复Windows系统快捷方式bug

Windows系统太过庞大，总有一些地方容易被出bug而被黑客利用，哪怕是常见的快捷方式功能，其中的风险最近才被微软修复。

快捷方式的后缀.ink很多人都知道，但不知道是快捷方式的属性中可以添加命令行参数，这本来是个很有方便的功能，比如笔者玩的暗黑、魔兽游戏中，以前就用到过这个功能来启动不同地区的客户端。

实际上很多人可能不知不觉中也被这个功能坑了，国内很多软件甚至流氓app就喜欢在快捷方式中加入特定的参数，以达到篡改主页、防止被改回去之类的目的。

这个功能当然也因此成为一些黑客的目标，受害者在打开快捷方式的时候可能就中招了，至少在2017年就有这样的攻击了。

这个漏洞被编号为CVE-2025-9491，但是这么多年来微软都没修复，甚至拒绝安全软件公司的修复，因为微软认为这个危险程度低，不符合服务标准。

但在11月的补丁日之后，微软还是在补丁中做了静默修复，现在属性对话框中可以显示完整的命令，黑客用这个功能攻击时就没那么容易了。

微软也在10月31日发布的公告中提到，他们调查了安全软件公司发布的报告，确定它不符合归为漏洞的标准，Microsoft Defender具有适当的检测功能来检测和阻止此威胁活动，而Smart App Control功能通过阻止来自Internet的恶意文件也提供额外的保护。