谷歌在今天早些時候推出了 Chrome 瀏覽器的86.0.4240.111版本,以修復正在被積極利用的 CVE-2020-15999零日漏洞。據悉,該漏洞源于 Chrome 中隨附的 FreeType 字體渲染庫的內存崩潰 bug,隨后谷歌內部安全團隊之一的 Project Zero 研究人員發現了針對該漏洞的野外攻擊。
團隊負責人 Ben Hawkes 表示,其發現別有用心者正在濫用 FreeType Bug 對 Chrome 用戶發起攻擊。
盡管在今日早些時候發布的 FreeType2.10.4版本中,已經包含了針對該漏洞的補丁修復,但 Ben Hawkes 還是敦促使用相同字體渲染庫的其它廠商也盡快更新其軟件,以防止此類攻擊的擴大化。
Chrome 用戶可通過瀏覽器內置的更新功能(菜單-> 幫助-> 關于),升級到最新的86.0.4240.111版本。
等到其它軟件廠商在未來幾個月內實施了修復之后,想必谷歌 Project Zero 也會披露有關有 CVE-2020-15999漏洞利用的更多細節。
據悉,CVE-2020-15999是過去12個月以來,第三次被發現存在野外利用的 Chrome 零日漏洞(此前還有2019年10月的 CVE-2019-13720、以及2020年2月的 CVE-2020-6418)。
感興趣的朋友,可移步至 FreeType 開源項目主頁了解這個零日漏洞。
