谷歌的網(wǎng)絡(luò)安全研究部門(mén)Project Project在周三披露了最近修補(bǔ)的Windows漏洞的詳細(xì)信息�,該漏洞可用于遠(yuǎn)程代碼執(zhí)行。
該漏洞跟蹤為CVE-2021-24093��,由Microsoft在2月9日發(fā)布其補(bǔ)丁星期二更新時(shí)進(jìn)行了修補(bǔ)�。Google的DominikRöttsches和Google Project Zero的Mateusz Jurczyk被認(rèn)為可以向Microsoft報(bào)告此問(wèn)題。
該漏洞的CVSS評(píng)分為8.8�����,但是Microsoft將該漏洞評(píng)為所有受影響的操作系統(tǒng)都至關(guān)重要�。該列表包括Windows 10,Windows Server 2016和2019和Windows Server�。
根據(jù)Microsoft的說(shuō)法,該安全漏洞會(huì)影響Windows圖形組件�����,可以通過(guò)將目標(biāo)用戶(hù)吸引到托管專(zhuān)門(mén)制作該漏洞的特制文件的網(wǎng)站來(lái)利用此漏洞�。
Google研究人員于11月下旬向Microsoft報(bào)告了此漏洞,該漏洞報(bào)告在Microsoft發(fā)布補(bǔ)丁程序大約兩周后于周三公開(kāi)。
Jurczyk和Röttsches將CVE-2021-24093描述為基于DirectWrite堆的緩沖區(qū)溢出�,與特制TrueType字體的處理有關(guān)。他們解釋說(shuō)�,攻擊者可以觸發(fā)內(nèi)存損壞情況,這種情況可以在DirectWrite客戶(hù)端的上下文中用于執(zhí)行任意代碼���。DirectWrite是一個(gè)Windows API��,旨在實(shí)現(xiàn)高質(zhì)量的文本呈現(xiàn)��。
研究人員在所有主要瀏覽器中使用功能全面的Windows 10對(duì)其漏洞進(jìn)行了測(cè)試���。除了技術(shù)細(xì)節(jié)外,他們還發(fā)布了概念驗(yàn)證(PoC)漏洞����。
但是,基于其可利用性評(píng)估�,Microsoft認(rèn)為該漏洞不會(huì)在野外被利用。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
