谷歌在今天早些時(shí)候推出了 Chrome 瀏覽器的86.0.4240.111版本,以修復(fù)正在被積極利用的 CVE-2020-15999零日漏洞。據(jù)悉,該漏洞源于 Chrome 中隨附的 FreeType 字體渲染庫的內(nèi)存崩潰 bug,隨后谷歌內(nèi)部安全團(tuán)隊(duì)之一的 Project Zero 研究人員發(fā)現(xiàn)了針對該漏洞的野外攻擊。
團(tuán)隊(duì)負(fù)責(zé)人 Ben Hawkes 表示,其發(fā)現(xiàn)別有用心者正在濫用 FreeType Bug 對 Chrome 用戶發(fā)起攻擊。
盡管在今日早些時(shí)候發(fā)布的 FreeType2.10.4版本中,已經(jīng)包含了針對該漏洞的補(bǔ)丁修復(fù),但 Ben Hawkes 還是敦促使用相同字體渲染庫的其它廠商也盡快更新其軟件,以防止此類攻擊的擴(kuò)大化。
Chrome 用戶可通過瀏覽器內(nèi)置的更新功能(菜單-> 幫助-> 關(guān)于),升級到最新的86.0.4240.111版本。
等到其它軟件廠商在未來幾個(gè)月內(nèi)實(shí)施了修復(fù)之后,想必谷歌 Project Zero 也會披露有關(guān)有 CVE-2020-15999漏洞利用的更多細(xì)節(jié)。
據(jù)悉,CVE-2020-15999是過去12個(gè)月以來,第三次被發(fā)現(xiàn)存在野外利用的 Chrome 零日漏洞(此前還有2019年10月的 CVE-2019-13720、以及2020年2月的 CVE-2020-6418)。
感興趣的朋友,可移步至 FreeType 開源項(xiàng)目主頁了解這個(gè)零日漏洞。
