最好確保你的windows10補(bǔ)丁是最新的，因?yàn)镚oogle的projectzero剛剛發(fā)布了一個(gè)剛剛修補(bǔ)過(guò)的windows10漏洞的概念驗(yàn)證代碼，只要訪問(wèn)一個(gè)網(wǎng)頁(yè)就可以利用這個(gè)漏洞。

在處理可變TTF字體時(shí)，fsgU ExecuteGlyph中Microsoft DirectWrite基于堆的緩沖區(qū)溢出https://t.co/EM4zxsIXwK

-Project Zero Bugs(@ProjectZeroBugs)2021年2月24日

該問(wèn)題是Microsoft DirectWrite中的一個(gè)缺陷，Windows字體渲染器也可用于所有瀏覽器，它易受巧盡心思構(gòu)建的TrueType字體的攻擊，TrueType字體可導(dǎo)致內(nèi)存損壞并崩潰，然后可使用TrueType字體以內(nèi)核權(quán)限運(yùn)行代碼。

鈥淎ttached是概念驗(yàn)證TrueType字體以及一個(gè)嵌入它并顯示AE字符的HTML文件，鈥Google指出。鈥淚t在所有主要的web瀏覽器中，在完全更新的Windows 10 1909上再現(xiàn)了上面所示的崩潰。字體本身已經(jīng)被子集化，只包括錯(cuò)誤的字形及其依賴項(xiàng)

這個(gè)被寫(xiě)為CVE-2021-24093的漏洞是在2021年2月9日剛剛修補(bǔ)的，這意味著任何延遲安裝本月累計(jì)更新的用戶仍然容易受到攻擊。