最好确保你的Windows 10补丁是最新的,因为谷歌的Project Zero刚刚发布了一个刚刚修补的Windows 10漏洞的概念证明代码,只要访问一个网页就可以利用这个漏洞。这个问题是Windows字体渲染器Microsoft DirectWrite中的一个漏洞。
该渲染器也是所有浏览器都会使用的,它容易被特制的TrueType字体破坏,从而导致其内存损坏和崩溃,然后可以用来运行内核权限的代码。
Project Zero的研究人员在一个名为Microsoft DirectWrite的高质量文本渲染Windows API中发现了这个漏洞,该缺陷的资料库代码为CVE-2021-24093,刚刚在2021年2月9日进行了修补,这意味着任何延迟安装本月累积更新的用户仍然存在此漏洞。
“本次附上的是概念验证的TrueType字体以及一个嵌入它并显示AE字符的HTML文件,它在完全更新的Windows 10 1909上的所有主要的网络浏览器中重现了上面显示的崩溃。字体本身已被子集为只包括有问题的字形及其依赖性。”
他们在11月向微软安全响应中心报告了该漏洞。该公司于2月9日,在本月的 “补丁星期二 “期间,发布了安全更新,在所有易受攻击的平台上解决了这一问题。该安全漏洞影响多个Windows 10和Windows Server版本,直至最新发布的20H2版本。
在90天的披露截止日期之后,Project Zero公布了一个概念验证的利用代码,可以用来在运行在完全打补丁的Windows 10 1909系统上的浏览器中重现该漏洞。
DirectWrite API被Chrome、Firefox和Edge等主流网络浏览器用作默认的字体光栅化器,用于渲染网络字体字形。由于这些网络浏览器使用DirectWrite API进行字体渲染,攻击者可以利用该安全漏洞触发内存损坏状态,从而可以远程在目标系统上执行任意代码。
攻击者可以通过诱导目标访问带有恶意制作的TrueType字体的网站,触发fsg_ExecuteGlyph API函数中基于堆的缓冲区溢出,从而利用CVE-2021-24093。
去年11月,微软还修复了一个在定向攻击中被主动利用的Windows内核零日漏洞,并在一个月前由Project Zero公开披露。
Google在这里公布了更多关于这个漏洞的信息,并再次提醒用户在设置页中检查更新来给电脑打补丁。
- A+
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/29234.html