Google 日前发布因应 Chrome 网络浏览器元件发现零时差(Zero-Day)漏洞的修补程式,正被骇客大加利用。Google Project Zero 安全抓漏团队技术负责人 Ben Hawkes 警告指出,漏洞已锁定 Chrome,但未提供有关攻击的更多详细资讯。
漏洞由 Project Zero 安全研究员 Sergei Glazunov 通报,由于骇客积极展开攻击活动,所以有必要 7 天内对外公布。它会影响 Chrome 常用的开放源代码 FreeType 3D 渲染引擎,并可透过嵌入 PNG 图片的特制字体发动漏洞攻击。PNG 图片档案表头获得的宽度和高度值截断成 16 位元,并计算产生位图的大小,但函式库程式瑕疵却导致堆积缓冲区溢位(Heap Buffer Overflow)的错误状况。
“问题在于 libpng 影像库使用原始的 32 位元值,这些值储存在“png_struct”。因此,如果原始宽度或高度大于 65535,那么分配的缓冲区将无法容下位图。”Glazunov 抓漏报告写道。Glazunov 并发布带有概念验证的字体档。
FreeType 零时差漏洞之外,Google 也修补了 Chrome 浏览器 Blink 渲染引擎的重大级漏洞,并修复 PDFium 渲染引擎及浏览器媒体与打印功能 3 个滥用释放内存(Use-After-Free,UAF)毁损漏洞。适用于 Windows、macOS 和 Linux 发行版的修补版 Chrome 的版本号为 86.0.4240.11。由于 FreeType 渲染引擎中出现这个漏洞,Google 建议凡使用该字体渲染引擎的厂商更新至 2.10.4 修正版。
- Google patches exploited Chrome zero-day
(首图来源:科技新报)
