谷歌发布Windows 10远程代码执行漏洞的概念验证 这回是已修复的漏洞
谷歌经常以其安全规则公布微软产品中的安全漏洞,即便是有时候微软还没来得及修复漏洞谷歌也会将细节公开。
该公司给出的理由是只有使用这种办法才能敦促开发商及时修复漏洞,但有时候漏洞的修复不是可以轻松完成的。
所以谷歌这种做法也经常被微软批评,同时部分安全研究人员以及微软的企业级客户对谷歌这种做法也比较担心。
现在谷歌再次公布Windows 10远程代码执行漏洞的概念证明,不过请放心这回这枚严重级别的漏洞已经被修复。
字体渲染器是微软在系统里使用的基础组件,该渲染器用于渲染系统内置的字体同时其他软件也会使用该渲染器。
早些时候谷歌发现微软的字体渲染器存在严重安全漏洞,攻击者使用特制字体即可触发漏洞并引起内存损坏崩溃。
引起内存损坏崩溃后攻击者就可以获得权限提升进而展开更多攻击等,所幸这枚漏洞微软已经在上个月进行修复。
只要用户已经安装 202102 月的累积更新即可修复此漏洞并规避攻击 , 若用户延迟安装累积更新则还是会被攻击。
因此建议那些注重安全性的用户尤其是政企机构尽快安装累积更新,避免攻击者利用钓鱼邮件利用该漏洞来攻击。
谷歌安全团队日前发布有关字体渲染器漏洞的概念验证,考虑到该漏洞已经修复因此这时候发布概念验证没问题。
该公司表示在概念验证中研究人员制作特定的字体并嵌入HTML文件,当使用浏览器加载该文件就会触发此漏洞。
对应的漏洞编号是CVE-2021-24093,漏洞报告日期是2020年11月27日,到现在满90天所以谷歌公开漏洞详情。
如果你对此有兴趣的话可以点击这里查看概念验证,同时谷歌已经提供特制的字体文件可让你测试这枚安全漏洞。