谷歌發(fā)布Chrome安全更新以修復(fù)此危險的錯誤

Google已發(fā)布了Chrome網(wǎng)絡(luò)瀏覽器的更新程序，修復(fù)了許多安全漏洞。特別值得注意的是，新的Chrome版本86.0.4240.111包含一個針對最近發(fā)現(xiàn)的零日漏洞的補丁程序。

列為CVE-2020-15999的安全漏洞是一個內(nèi)存損壞漏洞，對于了解Chrome安全性狀況的個人而言，這不足為奇。根據(jù)Google進行的內(nèi)部研究，影響Chrome的所有嚴重安全漏洞中，有70%與內(nèi)存相關(guān)。微軟研究人員得出了類似的數(shù)字。

這次，已修補的漏洞利用了Chrome隨附的FreeType字體渲染庫的漏洞。在Chrome用戶遭到網(wǎng)絡(luò)攻擊者攻擊后，安全內(nèi)部漏洞是由Google內(nèi)部的Project Zero小組發(fā)現(xiàn)的。

Chrome用戶可以通過更新到最新版本的瀏覽器來保持受保護的地位，但是其他個人可能仍然有風(fēng)險。仍然可以使用使用FreeType庫的其他軟件解決方案作為目標，因此Google建議有風(fēng)險的人下載最新版本的FreeType進行修補。

“零號項目發(fā)現(xiàn)并報告了一種可自由利用0day的自由類型，該0day被用來定位Chrome。”零號項目負責(zé)人Ben Hawkes發(fā)推文說。“雖然我們只看到了針對Chrome的漏洞利用，但其他freetype用戶應(yīng)采用此修復(fù)程序。”

重要的是，在線用戶應(yīng)盡快下載補丁程序，以防威脅者，甚至那些以前不知道此漏洞的人也可以決定。由于FreeType是開源的，因此可以在網(wǎng)上查看本機補丁，因此網(wǎng)絡(luò)攻擊者可以利用它來反向工程自己的漏洞。