A Microsoft a 2025 novemberi biztonsági frissítéssel javította a CVE-2025-9491 (CVSS 7.0) azonosítón nyomon követett, aktívan kihasznált sérülékenységet, amely a Windows rendszerekben a parancsikon-fájlok (.LNK) kezelését érintette. A sebezhetőség lehetővé tette, hogy a támadók manipulált LNK-fájlokban obfuszkált parancssori argumentumokat helyezzenek el, amelyek a parancsikon futtatásakor rejtetten kártékony kód végrehajtásához vezettek.
A sérülékenységet a Trend Micro Zero Day Initiative (ZDI) azonosította még márciusban. A Windows korábbi működése nem jelenítette meg a gyanús aktivitás felismeréséhez szükséges összes információt: a parancsikon tulajdonságainál a „Target” (Cél) mezőben csak az első 260 karakter volt látható, a maradék karakterlánc pedig levágásra került. A támadók ezt kihasználva szóközökkel töltötték ki a látható szakaszt, így a teljes gyakran PowerShell- vagy BAT-parancsot tartalmazó argumentum rejtve maradt. A kihasználáshoz ugyanakkor továbbra is szükség volt a felhasználói interakcióra, vagyis a parancsikon megnyitására.
Az Acros Security szerint a Microsoft a novemberi biztonsági frissítésben javította a problémát. A Windows mostantól a teljes karakterláncot megjeleníti a Target mezőben. Emellett az Acros a 0patch platformon keresztül ideiglenes javítást is biztosított ügyfelei számára.
A hivatalos javítás előtt a Microsoft hangsúlyozta, hogy a Windows beépített védelmi mechanizmusai, az internetről letöltött fájlokhoz kapcsolódó figyelmeztetések és az LNK-fájlok megnyitásához szükséges felhasználói megerősítés csökkentik a kockázatot.
A felhasználóknak továbbra is azt tanácsolják, hogy kerüljék az ismeretlen forrásból származó ZIP-archívumokat és az azokban található LNK-fájlok megnyitását. A Windows biztonsági figyelmeztetéseit minden esetben vegyék komolyan, és ha a rendszer a parancsikont nem megbízható forrásból származónak jelzi, a futtatást utasítsák el.