谷歌在今天早些时候推出了 Chrome 浏览器的86.0.4240.111版本,以修复正在被积极利用的 CVE-2020-15999零日漏洞。据悉,该漏洞源于 Chrome 中随附的 FreeType 字体渲染库的内存崩溃 bug,随后谷歌内部安全团队之一的 Project Zero 研究人员发现了针对该漏洞的野外攻击。
团队负责人 Ben Hawkes 表示,其发现别有用心者正在滥用 FreeType Bug 对 Chrome 用户发起攻击。
尽管在今日早些时候发布的 FreeType2.10.4版本中,已经包含了针对该漏洞的补丁修复,但 Ben Hawkes 还是敦促使用相同字体渲染库的其它厂商也尽快更新其软件,以防止此类攻击的扩大化。
Chrome 用户可通过浏览器内置的更新功能(菜单-> 帮助-> 关于),升级到最新的86.0.4240.111版本。
等到其它软件厂商在未来几个月内实施了修复之后,想必谷歌 Project Zero 也会披露有关有 CVE-2020-15999漏洞利用的更多细节。
据悉,CVE-2020-15999是过去12个月以来,第三次被发现存在野外利用的 Chrome 零日漏洞(此前还有2019年10月的 CVE-2019-13720、以及2020年2月的 CVE-2020-6418)。
感兴趣的朋友,可移步至 FreeType 开源项目主页了解这个零日漏洞。
(举报)
