谷歌公开 Win10 漏洞：黑客可通过网页字体发动攻击

图片地址：https://img.ithome.com/newsuploadfiles/2021/3/20210301_153638_661.jpeg

IT之家 3 月 1 日消息 据 MSPowerUser 2 月 28 日报道，谷歌公开了一个 Win10 系统的漏洞，该漏洞可使用户在不知情的情况下授权恶意软件访问内核的权利，从而遭受黑客攻击。这个漏洞来源于 Windows 的字体渲染器 Microsoft DirectWrite。这个字体渲染器是被 Chrome、Firefox 和 Edge 等主流网络浏览器用作默认的字体光栅化器，用于渲染网络字体字形。它容易被特制的 TrueType 字体破坏，从而导致其内存损坏和崩溃，然后恶意程序可以用来获得内核使用权限，黑客也可以远程在目标系统上执行任意操作。IT之家了解到，谷歌旗下 Project Zero 的研究人员在一个名为 Microsoft DirectWrite 的文本渲染 API 中发现了这个漏洞，该缺陷的资料库代码为 CVE-2021-24093。他们在 11 月向微软安全响应中心报告了该漏洞。微软公司于 2 月 9