IT之家3月1日消息据MSPowerUser2月28日报道,谷歌公开了一个Win10系统的漏洞,该漏洞可使用户在不知情的情况下授权恶意软件访问内核的权利,从而遭受黑客攻击。这个漏洞来源于Windows的字体渲染器MicrosoftDirectWrite。
这个字体渲染器是被Chrome、Firefox和Edge等主流网络浏览器用作默认的字体光栅化器,用于渲染网络字体字形。它容易被特制的TrueType字体破坏,从而导致其内存损坏和崩溃,然后恶意程序可以用来获得内核使用权限,黑客也可以远程在目标系统上执行任意操作。
IT之家了解到,谷歌旗下ProjectZero的研究人员在一个名为MicrosoftDirectWrite的文本渲染API中发现了这个漏洞,该缺陷的资料库代码为CVE--。他们在11月向微软安全响应中心报告了该漏洞。微软公司于2月9日发布了安全更新,在所有易受攻击的平台上解决了这一问题。该安全漏洞影响多个Windows10和WindowsServer版本,直至最新发布的20H2版本。
攻击者可以通过诱导目标用户访问带有恶意制作的TrueType字体的网站,从而利用CVE--,触发fsg_ExecuteGlyphAPI函数中缓冲区溢出,从而获得Windows的内核使用权限。
IT之家建议所有微软用户进行安全更新,以避免遭到恶意站点或软件的攻击。
联系电话: