Google已发布了Chrome网络浏览器的更新程序,修复了许多安全漏洞。特别值得注意的是,新的Chrome版本86.0.4240.111包含一个针对最近发现的零日漏洞的补丁程序。
列为CVE-2020-15999的安全漏洞是一个内存损坏漏洞,对于了解Chrome安全性状况的个人而言,这不足为奇。根据Google进行的内部研究,影响Chrome的所有严重安全漏洞中,有70%与内存相关。微软研究人员得出了类似的数字。
这次,已修补的漏洞利用了Chrome随附的FreeType字体渲染库的漏洞。在Chrome用户遭到网络攻击者攻击后,安全内部漏洞是由Google内部的Project Zero小组发现的。
Chrome用户可以通过更新到最新版本的浏览器来保持受保护的地位,但是其他个人可能仍然有风险。仍然可以使用使用FreeType库的其他软件解决方案作为目标,因此Google建议有风险的人下载最新版本的FreeType进行修补。
“零号项目发现并报告了一种可自由利用0day的自由类型,该0day被用来定位Chrome。”零号项目负责人Ben Hawkes发推文说。“虽然我们只看到了针对Chrome的漏洞利用,但其他freetype用户应采用此修复程序。”
重要的是,在线用户应尽快下载补丁程序,以防威胁者,甚至那些以前不知道此漏洞的人也可以决定。由于FreeType是开源的,因此可以在网上查看本机补丁,因此网络攻击者可以利用它来反向工程自己的漏洞。