IT之家 3 月 1 日消息 據 MSPowerUser 2 月 28 日報道,谷歌公開了一個 Win10 系統的漏洞,該漏洞可使用户在不知情的情況下授權惡意軟件訪問內核的權利,從而遭受黑客攻擊。這個漏洞來源於 Windows 的字體渲染器 Microsoft DirectWrite。
這個字體渲染器是被 Chrome、Firefox 和 Edge 等主流網絡瀏覽器用作默認的字體光柵化器,用於渲染網絡字體字形。它容易被特製的 TrueType 字體破壞,從而導致其內存損壞和崩潰,然後惡意程序可以用來獲得內核使用權限,黑客也可以遠程在目標系統上執行任意操作。
IT之家瞭解到,谷歌旗下 Project Zero 的研究人員在一個名為 Microsoft DirectWrite 的文本渲染 API 中發現了這個漏洞,該缺陷的資料庫代碼為 CVE-2021-24093。他們在 11 月向微軟安全響應中心報告了該漏洞。微軟公司於 2 月 9 日發佈了安全更新,在所有易受攻擊的平台上解決了這一問題。該安全漏洞影響多個 Windows 10 和 Windows Server 版本,直至最新發布的 20H2 版本。
攻擊者可以通過誘導目標用户訪問帶有惡意製作的 TrueType 字體的網站,從而利用 CVE-2021-24093,觸發 fsg_ExecuteGlyph API 函數中緩衝區溢出,從而獲得 Windows 的內核使用權限。
IT之家建議所有微軟用户進行安全更新,以避免遭到惡意站點或軟件的攻擊。