Value / Description vs competitors: CVE: CVE-2026-21510 — Windows Shell SmartScreen bypass (CVSS 8.8) CVE: CVE-2026-21513 — MSHTML spoofing via LNK IDList (CVSS not published) CVE: CVE-2026-32202 — Windows Shell authentication coercion / NTLM leak (CVSS 4.3)

Internet Explorer（IE）は既に廃止されているものの、Windows上に残るWebBrowserコントロールを悪用することで、わずか数回のクリックからリモートコード実行に至る攻撃手法が報告された。アプリケーションに組み込まれたIEエンジンが攻撃の起点となる。 PT Securityによると、問題となるのはIEのmshtmlエンジンとWebBrowserコントロールで、VBや.NET、C/C で開発された旧式アプリケーションに現在も組み込まれている。これらのアプリはlocalhost上のWebインターフェースを利用することが多く、HTMLやJavaScriptの検証が不十分な場合はXSSの起点となる。 攻撃者はlocalhost環境でスクリプト実行権限を得た後、IEのゾーン管理やMark of the Web（MOTW）の扱いを悪用し、ローカルHTMLファイルを開く。さらにMicrosoft Edgeを利用してHTMLファイルをダウンロードさせ、特定条件下でMOTWが付与されない状態を作り出す。 その後、ローカル権限で実行されるHTMLからActiveX経由でWScript.ShellなどのCOMオブジェクトを生成し、利用者が警告ダイアログで「Yes」を選択すると任意コマンドの実行が可能となる。 研究者は、この攻撃が最初のクリックでファイル取得を誘導し、2回目のクリックでActiveX実行を承認させる「2クリックRCE」となると説明している。また、ZIPフォルダー表示機能などを利用したクリックジャッキング手法も確認された。 cybersecuritynews.com/intern…

Just like MSIE6 and MSHTML.

Fun fact Edge still uses Trident/MSHTML (for IE mode) and will until 2029.

这就有点无脑吹了，mshtml 和 webkit 一样都是前期 footprint 低，但复杂度高了比 blink 性能差很多的引擎。你在 xp explorer 里跑一个 react 写的屎山试试谁更卡？

那你微软倒是继续做mshtml呀。自己放弃投向chromium的

zero-day vulnerabilities 2026: multiple active exploits (apt28 mshtml, chrome cve-2026-2441, cisco sd-wan cve-2026-20127). 3 already exploited for years. microsoft patch tuesday fixes 6 flaws, 3 more public. zero day initiative tracking milestones. china using artificial sun fusion device breaking plasma density barriers. irgc cyberattack leveraging cloud providers post-strait closure. need patching vigilance and proactive threat hunting, not just reactive.

CVE-2026-21513（MSHTMLのセキュリティ機構バイパス）が、APT28関連とされる活動でパッチ前から悪用された可能性が報告されている。観測上はLNK等を用いた誘導で発火し得る点が厄介で、「ブラウザだけ」ではなくMSHTMLを埋め込むコンポーネント全体が射程に入る。対処は更新適用が前提として最短ルートで、加えてLNK/HTML添付の取り扱い、Zone情報・ShellExecute系の異常、メール〜実行までの連鎖監視を強化するのが筋。 #CVE2026_21513 #APT28 #MSHTML #ZeroDay #Weaponized thehackernews.com/2026/03/ap…

APT28 attacks involving MSHTML zero-day precede fixes scworld.com/brief/apt28-atta…

A couple of days ago, I asked you to update all of your devices. Microsoft’s February 2026 Patch Tuesday fixed 59 flaws, but CVE-2026-21513 in the MSHTML framework stole the spotlight. This security bypass vulnerability hit all Windows versions, earned a CVSS score of 8.8, and saw active exploitation in the wild by APT28, Russia’s state-sponsored hackers. If you have not, and then ran a virus scan, please do it now, especially if you are Military or a DoD contractor.

Source: MSHTML Zero-Day in Windows Exploited by APT28 Prior to Feb 2026 Security Update gbhackers.com/mshtml-zero-da…

APT28 was exploiting a Windows MSHTML zero-day before Microsoft's February patch. If you delayed that update, you gave Russia's GRU a window into your environment. Verify deployment across all endpoints now.

[Blog] Grupo ruso APT28 explota vulnerabilidad 0-day en MSHTML antes de la actualización de febrero de 2026 blog.elhacker.net/2026/03/gr…

🚨 Fresh intel drops: Russia-backed APT28 (aka Fancy Bear / Sofacy) linked to in-the-wild exploitation of CVE-2026-21513 — a high-severity (CVSS 8.8) MSHTML Framework security feature bypass! ⚠️ This flaw allowed attackers to bypass protections over the network. 💥 📅 It was exploited as a true zero-day — before Microsoft patched it in February 2026 Patch Tuesday 😤 Akamai connects the dots: malicious LNK shortcut files → APT28 infrastructure → bypassed Mark-of-the-Web IE Enhanced Security → remote code execution! 🛡️→❌ Microsoft confirmed active exploitation and added it to the CISA Known Exploited Vulnerabilities catalog. Windows users → update right now! 🔄 Stay sharp against state-sponsored threats 👀

⚠️ APT28 Linked to MSHTML Zero-Day Exploited Before Patch thehackernews.com/2026/03/ap… Microsoft patched CVE-2026-21513, a high-severity MSHTML flaw, in February, but signs point to zero-day exploitation beforehand. The bug allows attackers to bypass security features and potentially execute code via malicious HTML or LNK files. Artifacts uploaded in late January are tied to infrastructure linked to APT28, suggesting targeted use in real campaigns. The technique can bypass Window's MOTW protections, showing ongoing risks around file-based phishing and MSHTML abuse. #ZeroDay #APT28 #ThreatIntelligence

🚨 APT28 Exploited MSHTML Zero-Day (CVE-2026-21513) Before February Patch Akamai reports Russia-linked APT28 likely abused CVE-2026-21513 (CVSS 8.8) in MSHTML/ieframe.dll to bypass browser security controls and reach code execution by abusing weak URL validation that lets attacker input flow into ShellExecuteExW—observed via malicious .LNK files embedding HTML and using nested iframes to break trust boundaries. This matters because any Windows component embedding MSHTML could be a viable trigger path, so orgs must prioritize February 2026 patch deployment and hunt for related LNK/HTML tradecraft. 🎯 Target: Global/Government & High-Value Organizations #️⃣ Category: #APT #Vulnerability 🔗 URL: securityaffairs.com/188782/s…

Russia-linked APT28 exploited MSHTML zero-day CVE-2026-21513 before patch securityaffairs.com/188782/s…

ロシア系APT28が、Microsoft修正済みのゼロデイ脆弱性を悪用していた可能性が浮上した。MSHTMLの欠陥を突き、細工したLNK経由で保護機構を回避しコード実行に至る攻撃が確認された。 問題はCVE-2026-21513（CVSS 8.8）で、MSHTML Frameworkにおけるセキュリティ機能バイパスに起因する。Microsoftは2026年2月の月例更新で修正したが、実際の攻撃でゼロデイとして悪用されていたと認めている。Akamaiによれば、1月30日にVirusTotalへ投稿された不審な検体がAPT28関連インフラと結び付いていた。この欠陥はieframe.dllのハイパーリンク処理におけるURL検証不足が原因で、攻撃者制御の入力がShellExecuteExWを呼び出す経路に到達する。具体的にはHTMLを埋め込んだ細工済みLNKファイルを開かせ、ネストしたiframeなどで信頼境界を操作し、Mark-of-the-WebやIE ESCを回避する。これによりブラウザーのサンドボックス外で不正コード実行が可能となる。関連してCVE-2026-21509を悪用する攻撃も報告されている。 thehackernews.com/2026/03/ap…

@Akamai @akamai_trader #Russia-linked #APT28 exploited #MSHTML zero-day CVE-2026-21513 before patch securityaffairs.com/188782/s… #securityaffairs #hacking #Microsoft

APT28 weaponized CVE-2026-21513 — MSHTML zero-day (CVSS 8.8) — exploited in the wild before Microsoft's Feb 2026 patch. Zero-days thrive in complex, closed-source frameworks. $DGB consensus: MIT-licensed C , 12 years of public scrutiny. Attack surface matters.