Google: Хакери можуть здійснювати атаки за допомогою веб-шрифтів Win10

202103windows10

Нещодавно Google виявив уразливість системи Win10, яка може дозволити користувачам санкціонувати шкідливе програмне забезпечення для доступу до ядра без їх відома, тим самим піддаючи їх хакерським атакам. Ця вразливість походить від візуалізатора шрифтів Windows, Microsoft DirectWrite.

Google: Хакери можуть здійснювати атаки за допомогою веб-шрифтів Win10

Цей візуалізатор шрифтів використовується основними веб-браузерами, такими як Chrome, Firefox та Edge, як стандартний растеризатор шрифтів для візуалізації гліфів веб-шрифтів. Його легко пошкодити спеціально виготовленими шрифтами TrueType, що спричиняє збій та пошкодження його пам’яті. Після цього шкідливі програми можуть отримати доступ до ядра. Це дозволить хакерам віддалено виконувати довільні операції над цільовою системою.

[Google виявляє вразливості Win10: хакери можуть запускати атаки за допомогою вебшрифтів] Дослідники Project Zero від Google виявили цю вразливість в API візуалізації тексту під назвою Microsoft DirectWrite. Код бази даних дефекту – CVE-2021-24093. Вони повідомили про вразливість Центру реагування на безпеку Microsoft у листопаді. Microsoft випустила оновлення безпеки 9 лютого, щоб розв’язувати цю проблему на всіх вразливих платформах. Уразливість безпеки впливає на кілька версій Windows 10 та Windows Server, до останньої версії 20H2.

Зловмисник може використовувати CVE-2021-24093 для запуску переповнення буфера в функції API fsg_ExecuteGlyph, спонукаючи цільового користувача відвідувати вебсайт зі шкідливо створеним шрифтом TrueType, отримуючи тим самим доступ до ядра Windows.

Ми рекомендуємо всім користувачам Microsoft виконувати оновлення системи безпеки, щоб уникнути атак зловмисних сайтів або програмного забезпечення.

Microsoft випускає попередній перегляд Windows 10 21H1, і ось список нових функцій

Microsoft випустила першу попередню версію Windows 10 версії 21H1, і буквально пару днів тому компанія підтвердила існування цього оновлення. Це незначне оновлення, і воно не містить жодних основних функцій. Ми, мабуть, побачимо основні особливості більшого оновлення 21H2.

Список змін:

  • Підтримка декількох камер Windows Hello, що дозволяє користувачам вибирати пріоритет зовнішньої камери при використанні високоякісних дисплеїв із вбудованими камерами.
  • Покращення продуктивності Windows Defender Application Guard, включаючи оптимізацію часу сценарію відкриття документа.
  • Виправлено проблему, яка спричиняла затримку в одну хвилину або більше, коли ви відкриваєте документ Microsoft Defender Application Guard (WDAG) Office. Це відбувається під час спроби відкрити файл за допомогою шляху до Конвенції про універсальне іменування (UNC). Це також трапляється під час спроби спільного посилання на блок повідомлень сервера (SMB).
  • Покращено ефективність роботи Robocopy під час копіювання файлів загальним обсягом понад 400 МБ.
  • Виправлено проблему, через яку контейнер WDAG використовував майже 1 Гб пам’яті, коли контейнер не працював.
  • Служба групової політики служб керування Windows (WMI) (GPSVC) оновлює покращення продуктивності для підтримки сценаріїв віддаленої роботи.
  • Виправлено проблему, через яку адміністратор Active Directory (AD) вносить зміни в членство користувачів або комп’ютерів, щоб повільно поширюватися. Хоча маркер доступу з часом оновлюється, ці зміни не відбиваються, коли адміністратор використовує gpresult / r або gpresult / h для створення звіту.
What’s your Reaction?
Cool
0
Cool
Happy
0
Happy
Shaking
0
Shaking
Interesting
0
Interesting
Sad
0
Sad
Angry
0
Angry
Читайте Gizchina в Google News

Сподобалась стаття? Подякуй редакції!

Джерело
Поділитися з друзями

Мене завжди цікавили IT-технології. І оскільки моя попередня багаторічна професійна діяльність (а це дизайн і додрукарська підготовка) неможлива без їх допомоги, то так вийшло, що всім, що було пов'язано з комп'ютерами (наприклад, збиранням і модернізацією "заліза", а також налаштуванням софта) мені завжди доводилося займатися самому.

Ну, а з появою в нашому житті гаджетів, сфера моїх інтересів розширилася й на них теж.

Люблю вивчати та аналізувати можливості різних пристроїв, і вже багато років, перш ніж придбати що-небудь нове, завжди дуже довго і ретельно вивчаю можливості кожної з потенційних моделей, проводжу досить тривалу і копітку роботу, читаю огляди, відгуки та порівняння.

Нагородою за витрачений час зазвичай є те, що найчастіше я дійсно отримую найкраще з того, що можна взяти в рамках запланованого мною бюджету.

Оцініть автора
( Поки що оцінок немає )
GizChina.net