Google发布Chrome安全更新以修补积极利用的零日漏洞

Google 今天早些时候发布了 Chrome版本86.0.4240.111，以部署安全修复程序，其中包括针对被积极利用的零日漏洞的补丁程序。

零日的追踪时间为 CVE-2020-15999  ，并被描述为  标准Chrome发行版随附 的 FreeType字体渲染库中的内存损坏错误。

谷歌内部安全团队之一Project Zero的安全研究人员发现了利用此FreeType错误进行的野外攻击。

据零号项目团队负责人本·霍克斯（Ben Hawkes）称，发现威胁者正在滥用此FreeType错误，以对Chrome用户发起攻击。

霍克斯现在敦促其他使用相同FreeType库的应用程序供应商也更新其软件，以防威胁行动者决定将针对其他应用程序的攻击转移到其他应用程序上。

今天早些时候发布的FreeType 2.10.4中已包含针对该错误的补丁。

Chrome用户可以通过浏览器的内置更新功能将其更新到v86.0.4240.111（请参阅Chrome菜单， 帮助 选项和 关于Google Chrome 部分）。

有关CVE-2020-15999活动利用尝试的详细信息尚未公开。Google通常会使用数月的技术细节，以使用户有足够的时间进行更新，甚至保持最小的线索也不会落入攻击者的手中。

但是，由于在开放源代码项目FreeType的源代码中可以看到零日漏洞的补丁，因此，预计威胁行为者将能够对零日漏洞进行反向工程，并在几天或几天内提出自己的漏洞利用周。

CVE-2020-15999是过去十二个月来第三次被野外使用的Chrome零日漏洞。前两个是CVE-2019-13720（2019年10月）和CVE-2020-6418（2020年2月）。