مایکروسافت بهطور بیسروصدا آسیبپذیری با شناسه CVE-2025-9491 (یا ZDI-CAN-25373) و امتیاز: 7.8/7.0 که از سال ۲۰۱۷ توسط چندین عامل تهدید اکسپلویت میشد را بهعنوان بخشی از بهروزرسانیهای نوامبر ۲۰۲۵، وصله کرده است.
طبق گزارش 0patch شرکت ACROS Security، این آسیبپذیری تفسیر نادرست رابط کاربری فایل میانبر ویندوز (LNK)، میتواند منجر به اجرای کد از راه دور شود و در مدیریت فایلهای LNK. وجود دارد. دادههای دستکاریشده در فایل LNK. میتواند باعث شود محتوای خطرناک در فایل برای کاربری که فایل را از طریق رابط کاربری ارائه شده توسط ویندوز بررسی میکند، نامرئی باشد. مهاجم میتواند از این آسیبپذیری برای اجرای کد در زمینه کاربر فعلی استفاده کند. به عبارت دیگر، این فایلهای میانبر به گونهای ساخته شدهاند که مشاهده ویژگیهای آنها در ویندوز، دستورات مخرب اجرا شده توسط آنها را با استفاده از کاراکترهای مختلف “Whitespace” از دید کاربر پنهان میکند. برای اجرای آنها، نفوذگران میتوانند فایلها را به عنوان اسناد بیخطر پنهان کنند.
جزئیات این نقص در مارس 2025 آشکار شد، زمانی که ZDI ترند میکرو فاش کرد که این نقص توسط یازده گروه دولتی از چین، ایران، کره شمالی و روسیه به عنوان بخشی از سرقت دادهها، جاسوسی و کمپینهای با انگیزه مالی مورد سوء استفاده قرار گرفته است که برخی از آنها به سال 2017 برمیگردد. عامل مخرب میتواند با ایجاد فایل LNKیک دستور طولانی را اجرا کند، که باعث میشود فقط 260 کاراکتر اول آن برای کاربری که properties آن را مشاهده کرده است، نمایش داده شود. بقیه رشته فرمان به سادگی کوتاه میشود.
طبق گفته مایکروسافت، ساختار فایل از نظر تئوری امکان رشتههایی تا 32 هزار کاراکتر را فراهم میکند. وصله منتشر شده توسط مایکروسافت، با نمایش کل دستور Target به همراه آرگومانها صرف نظر از طول آن، در پنجره Properties، این باگ را برطرف کرد. با این حال، این رفتار به این احتمال بستگی دارد که فایلهای میانبر با بیش از ۲۶۰ کاراکتر در فیلد Target وجود داشته باشند. وصله غیر رسمی CVE-2025-9491 شرکت ACROS Security برای کاربران 0patch با حسابهای PRO یا Enterprise که از نسخههای ویندوزی استفاده میکنند که پشتیبانی از آنها به پایان رسیده است (ویندوز 7 تا ویندوز 11 نسخه 22H2 و ویندوز سرور 2008 R2 تا ویندوز سرور 2022) در دسترس است.
https://thehackernews.com/2025/12/microsoft-silently-patches-windows-lnk.html
https://www.bleepingcomputer.com/news/microsoft/microsoft-mitigates-windows-lnk-flaw-exploited-as-zero-day/
