谷歌发布了Chrome浏览器的更新,修补了该软件FreeType字体渲染库中的零日漏洞,该漏洞正被广泛利用。
Google Project Zero的安全研究员Sergei Glazunov发现了这个漏洞,它被归类为FreeType中的一种称为堆缓冲区溢出的内存损坏漏洞。Glazunov周一向谷歌通报了该漏洞。*Project Zero是该公司的一个内部安全团队,旨在查找零日漏洞。
截至周二,谷歌已经发布了稳定的频道更新,Chrome86.0.4240.111版,它为视窗、Mac和Linux操作系统部署了五个安全补丁,其中一个补丁是针对零日的补丁,该补丁被跟踪为CVE-2020-15999,被评为高风险。周二,谷歌Chrome团队的Prudhvikumar Bommana在一篇宣布更新的博客文章中写道:“谷歌知道有报告称,CVE2020-15999存在漏洞。”谷歌没有透露研究人员观察到的活跃攻击的更多细节。
Chrome安全团队成员安德鲁·R·沃利(Andrew R.Whalley)在Twitter上称赞他的团队对零日的“超快”反应。
不过,Project Zero团队的技术负责人本·霍克斯(Ben Hawkes)警告说,虽然谷歌研究人员只观察到了Chrome漏洞,但FreeType的其他实现可能也容易受到攻击,因为谷歌对该漏洞的反应如此迅速。他向用户推荐Glazunov在FreeType项目页面上发布的修复程序,并敦促他们更新其他潜在的易受攻击的软件。
霍克斯在推特上写道:“今天FreeType2.10.4的稳定版本中也有这个修复。”
与此同时,安全研究人员在Twitter上鼓励人们立即更新他们的Chrome浏览器,以避免成为旨在利用该漏洞的攻击者的受害者。
“今天一定要更新您的Chrome!(重新启动它!),“伦敦的应用安全顾问Sam Stepanyan在推特上写道。
除了FreeType零日,谷歌在本周发布的Chrome更新中还修补了其他四个错误-三个是高风险,一个是中等风险。
根据这篇博客文章,高危漏洞是:CVE-2020-16000,被描述为“在眨眼中不适当的实现”;CVE-2020-16001,被描述为“在媒体中免费使用”;以及CVE-2020-16002,被描述为“在PDFium中免费使用”。博玛纳写道,这个中等风险的漏洞被追踪为CVE-2020-16003,被描述为“免费打印后使用”。
到目前为止,在过去的12个月里,谷歌已经在其Chrome浏览器中修补了三个零日漏洞。在本周FreeType发布之前,第一个漏洞是一个关键的远程代码执行漏洞,在万圣节前夜打了补丁,并被跟踪为CVE-2019-13720;第二个漏洞是一种内存混乱漏洞,被跟踪为CVE-2020-6418,已在2月份修复。