谷歌修补了其Chrome浏览器中的五个安全漏洞,其中一个漏洞正被恶意人士疯狂利用。这些漏洞包括1个缓冲区溢出和3个导致程序崩溃的任意代码执行内存数据的破坏性缺陷,但CVE-2020-15999无疑是最严重的。它甚至可以自动为你的浏览器安装自定义字体。
高危漏洞CVE-2020-15999是Freetype中的堆缓冲区溢出,由Google Project Zero于10月19日发现。
Google Zero没有透露CVE-2020-15999的技术细节,该技术已被广泛用于网络攻击,以避免威胁行为者进一步大规模利用。但据信与网站能够请求安装Web Open Font格式字体有关,因此很可能只有通过访问一些专门设计的网站才能利用该漏洞。
早于86.0.4240.111的Chrome浏览器版本存在上述漏洞。如果你有一个要更新(Chrome菜单中的绿色箭头),现在可能是重启浏览器的好时机。如果你没有,最好立即更新。在Chrome菜单中点击Help About,系统会自动检测最新更新,或者直接从Google官网下载最新版本。
