اگر شما هم از ویندوز ۱۰ استفاده میکنید، بهتر است مطمئن شوید آخرین وصلههای امنیتی را نصب کردهاید. پژوهشگرهای گوگل اطلاعات کاملی را درباره یک حفره موجود در ویندوز ۱۰ منتشر کردهاند که همین ماه گذشته از سوی مایکروسافت برطرف شده است.
پژوهشگرهای پروژه صفر گوگل یک حفره امنیتی را در Microsoft DirectWrite ویندوز شناسایی کردهاند که از آن برای رندر کردن فونتها در کلیه مرورگرها استفاده میشود. کافی است حمله کننده یک فونت TrueType حاوی کدهای مخرب را بارگذاری کند تا موجب کرش کردن، خرابی حافظه و در نهایت دستیابی به مجوزهای سطح هسته شود.
پژوهشگرهای گوگل فایلهای لازم برای اثبات مفهوم این حمله را منتشر کردهاند که قادر است تنها از طریق بازدید از یک صفحه آلوده، کدهای مخرب را بر روی سیستم کاربر اجرا کند. این اثبات مفهوم متشکل از یک کد HTML ساده و یک فونت دستکاریشده است.
مایکروسافت آسیب پذیری CVE-2021-24093 را در روز ۹ فوریه ۲۰۲۱ برطرف کرده است، بنابراین اگر هنوز وصله امنیتی ماه میلادی گذشته ویندوز ۱۰ را نصب کردهاید، در برابر این دست حملات آسیب پذیر هستید.
