Windows 10字型元件存在RCE漏洞 造訪惡意網站就中標

Google抓蟲小組Project Zero,本周公佈Windows 10系統字型元件中,存在一個重大遠端程式碼執行(RCE)漏洞及概念驗證攻擊程式。

Google抓蟲小組Project Zero,本周公佈Windows 10系統字型元件中,存在一個重大遠端程式碼執行(RCE)漏洞及概念驗證攻擊程式。

這個漏洞編號CVE-2021-24093,是發生在Windows 10一個負責繪製文字的API,名為Microsoft DirectWrite之中。

這個漏洞是由Google 的Dominik Röttsches,以及Project Zero研究員Mateusz Jurczyk去年11月發現並向微軟安全回應中心通報,微軟已在今年2月9日的安全更新中予以修補。而在滿90天後,Google也按規定公佈漏洞細節。

DirectWrite API為字形柵格化引擎(rasterizer),Chrome、Firefox、Edge等主流瀏覽器預設使用繪製網頁字型。它功能函式元件-fsg_ExeuteGlyph存在處理可變TrueType字體觸發的漏洞。遠端攻擊者可以藉由引誘使用者造訪包含惡意TrueType字型的網頁,引發緩衝區溢位造成記憶體毁損,進而在受害系統上執行任意程式碼。

CVE-2021-24093漏洞風險指數達到8.8,20H2更新之前的多款Windows 10及Windows Server都受到影響。

同時間Google也公佈了概念驗證攻擊程式。它是一個嵌入TrueType字型以顯示AE(After Effects)字型的HTML檔,可在一台Windows 10 1909系統上的瀏覽器環境下引發出記憶體毁損,而且對所有瀏覽器都實驗成功。

Google去年10月也修補了廣受歡迎的Chrome FreeType字體繪製函式庫中,一個已遭開採的零時差漏洞。

來源:Bleeping Computer

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416