Google发布了针对刚刚修补的windows10远程代码执行

最好确保你的windows10补丁是最新的,因为Google的projectzero刚刚发布了一个刚刚修补过的windows10漏洞的概念验证代码,只要访问一个网页就可以利用这个漏洞。

在处理可变TTF字体时,fsgU ExecuteGlyph中Microsoft DirectWrite基于堆的缓冲区溢出https://t.co/EM4zxsIXwK

-Project Zero Bugs(@ProjectZeroBugs)2021年2月24日

该问题是Microsoft DirectWrite中的一个缺陷,Windows字体渲染器也可用于所有浏览器,它易受巧尽心思构建的TrueType字体的攻击,TrueType字体可导致内存损坏并崩溃,然后可使用TrueType字体以内核权限运行代码。

Google发布了针对刚刚修补的windows10远程代码执行插图

鈥淎ttached是概念验证TrueType字体以及一个嵌入它并显示AE字符的HTML文件,鈥Google指出。鈥淚t在所有主要的web浏览器中,在完全更新的Windows 10 1909上再现了上面所示的崩溃。字体本身已经被子集化,只包括错误的字形及其依赖项

这个被写为CVE-2021-24093的漏洞是在2021年2月9日刚刚修补的,这意味着任何延迟安装本月累计更新的用户仍然容易受到攻击。

© 版权声明
THE END
喜欢就支持一下吧
点赞13 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片

    暂无评论内容