吳明宜Windows 10 字型元件存在 RCE 漏洞 造訪惡意網站就中標
Google 抓蟲小組 Project Zero,本周公佈 Windows 10 系統字型元件中,存在一個重大遠端程式碼執行 (RCE) 漏洞及概念驗證攻擊程式。
這個漏洞編號 CVE-2021-24093,是發生在 Windows 10 一個負責繪製文字的 API,名為 Microsoft DirectWrite 之中。
這個漏洞是由 Google 的 Dominik Röttsches,以及 Project Zero 研究員 Mateusz Jurczyk 去年 11 月發現並向微軟安全回應中心通報,微軟已在今年 2 月 9 日的安全更新中予以修補。而在滿 90 天後,Google 也按規定公佈漏洞細節。
DirectWrite API 為字形柵格化引擎 (rasterizer),Chrome、Firefox、Edge 等主流瀏覽器預設使用繪製網頁字型。它功能函式元件-fsg_ExeuteGlyph 存在處理可變 TrueType 字體觸發的漏洞。遠端攻擊者可以藉由引誘使用者造訪包含惡意 TrueType 字型的網頁,引發緩衝區溢位造成記憶體毁損,進而在受害系統上執行任意程式碼。
CVE-2021-24093 漏洞風險指數達到 8.8,20H2 更新之前的多款 Windows 10 及 Windows Server 都受到影響。
同時間 Google 也公佈了概念驗證攻擊程式。它是一個嵌入 TrueType 字型以顯示 AE(After Effects) 字型的 HTML 檔,可在一台 Windows 10 1909 系統上的瀏覽器環境下引發出記憶體毁損,而且對所有瀏覽器都實驗成功。
Google 去年 10 月也修補了廣受歡迎的 Chrome FreeType 字體繪製函式庫中,一個已遭開採的零時差漏洞。