Chrome浏览器再受威胁——零日漏洞再次现世!
谷歌今天发布了Chrome 86.0.4240.111版本,修补了几个安全性高的问题,包括一个零日漏洞,该漏洞被攻击者肆意利用来劫持目标计算机。 被追踪到的漏洞名为CVE-2020-15999,它是一种内存破坏漏洞,在Freetype中被称为堆缓冲区溢出。Freetype是一种流行的开源软件开发库,用于呈现字体,与Chrome一起打包 该漏洞是谷歌Project Zero的安全研究员Sergei Glazunov于10月19日发现并报告的,由于该漏洞正在被填补,因此有七天的公开披露期。 Glazunov也立即向FreeType开发者报告了零日漏洞,他们随后在10月20日发布了一个紧急补丁来解决这个问题,与此同时发布了FreeType 2.10.4。 “虽然我们只看到了针对Chrome的漏洞利用,但其他freetype用户应采用此处讨论的修复程序:savannah.nongnu.org/bugs/?59308——这个补丁也在今天的稳定版本FreeType 2.10.4中,”Hawkes写道。 根据Glazunov透露的细节,这个漏洞存在于FreeType的“Load_SBit_Png”函数中,该函数处理嵌入到字体中的PNG图像。攻击者可以利用它来执行任意代码,只要使用带有嵌入PNG图像的特定字体即可。 (编辑:上饶站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |