Win10最新漏洞：網(wǎng)頁(yè)字體可被黑客發(fā)動(dòng)攻擊

　　系統(tǒng)之家獲取最新消息，據(jù) MSPowerUser 2 月 28 日?qǐng)?bào)道，谷歌公開了一個(gè) Win10 系統(tǒng)的漏洞。谷歌旗下的研究員發(fā)現(xiàn)一個(gè)漏洞，該漏洞可使用戶不知情地授權(quán)惡意軟件訪問(wèn)權(quán)限，導(dǎo)致被黑客攻擊。該缺陷的資料庫(kù)代碼為 CVE-2021-24093，來(lái)源于Windows 的字體渲染器 Microsoft DirectWrite。

　　這個(gè)字體渲染器是被 Chrome、Firefox 和 Edge 等主流網(wǎng)絡(luò)瀏覽器用作默認(rèn)的字體光柵化器，用于渲染網(wǎng)絡(luò)字體字形。它容易被特制的 TrueType 字體破壞，從而導(dǎo)致其內(nèi)存損壞和崩潰，然后惡意程序可以用來(lái)獲得內(nèi)核使用權(quán)限，黑客也可以遠(yuǎn)程在目標(biāo)系統(tǒng)上執(zhí)行任意操作。

　　系統(tǒng)之家了解到，谷歌旗下 Project Zero 的研究人員在一個(gè)名為 Microsoft DirectWrite 的文本渲染 API 中發(fā)現(xiàn)了這個(gè)漏洞，該缺陷的資料庫(kù)代碼為 CVE-2021-24093。他們?cè)?11 月向微軟安全響應(yīng)中心報(bào)告了該漏洞。微軟公司于 2 月 9 日發(fā)布了安全更新，在所有易受攻擊的平臺(tái)上解決了這一問(wèn)題。該安全漏洞影響多個(gè) Windows 10 和 Windows Server 版本，直至最新發(fā)布的 20H2 版本。

　　攻擊者可以通過(guò)誘導(dǎo)目標(biāo)用戶訪問(wèn)帶有惡意制作的 TrueType 字體的網(wǎng)站，從而利用 CVE-2021-24093，觸發(fā) fsg_ExecuteGlyph API 函數(shù)中緩沖區(qū)溢出，從而獲得 Windows 的內(nèi)核使用權(quán)限。

　　系統(tǒng)之家建議所有微軟用戶進(jìn)行安全更新，以避免遭到惡意站點(diǎn)或軟件的攻擊。