谷歌修补了Chrome中一个被积极利用的零日漏洞

谷歌发布了Chrome浏览器的更新，修补了该软件FreeType字体渲染库中的零日漏洞，该漏洞正被广泛利用。

Google Project Zero的安全研究员Sergei Glazunov发现了这个漏洞，它被归类为FreeType中的一种称为堆缓冲区溢出的内存损坏漏洞。Glazunov周一向谷歌通报了该漏洞。*Project Zero是该公司的一个内部安全团队，旨在查找零日漏洞。

截至周二，谷歌已经发布了稳定的频道更新，Chrome86.0.4240.111版，它为视窗、Mac和Linux操作系统部署了五个安全补丁，其中一个补丁是针对零日的补丁，该补丁被跟踪为CVE-2020-15999，被评为高风险。周二，谷歌Chrome团队的Prudhvikumar Bommana在一篇宣布更新的博客文章中写道：“谷歌知道有报告称，CVE2020-15999存在漏洞。”谷歌没有透露研究人员观察到的活跃攻击的更多细节。

Chrome安全团队成员安德鲁·R·沃利(Andrew R.Whalley)在Twitter上称赞他的团队对零日的“超快”反应。

不过，Project Zero团队的技术负责人本·霍克斯(Ben Hawkes)警告说，虽然谷歌研究人员只观察到了Chrome漏洞，但FreeType的其他实现可能也容易受到攻击，因为谷歌对该漏洞的反应如此迅速。他向用户推荐Glazunov在FreeType项目页面上发布的修复程序，并敦促他们更新其他潜在的易受攻击的软件。

霍克斯在推特上写道：“今天FreeType2.10.4的稳定版本中也有这个修复。”

与此同时，安全研究人员在Twitter上鼓励人们立即更新他们的Chrome浏览器，以避免成为旨在利用该漏洞的攻击者的受害者。

“今天一定要更新您的Chrome！(重新启动它！)，“伦敦的应用安全顾问Sam Stepanyan在推特上写道。

除了FreeType零日，谷歌在本周发布的Chrome更新中还修补了其他四个错误-三个是高风险，一个是中等风险。

根据这篇博客文章，高危漏洞是：CVE-2020-16000，被描述为“在眨眼中不适当的实现”；CVE-2020-16001，被描述为“在媒体中免费使用”；以及CVE-2020-16002，被描述为“在PDFium中免费使用”。博玛纳写道，这个中等风险的漏洞被追踪为CVE-2020-16003，被描述为“免费打印后使用”。

到目前为止，在过去的12个月里，谷歌已经在其Chrome浏览器中修补了三个零日漏洞。在本周FreeType发布之前，第一个漏洞是一个关键的远程代码执行漏洞，在万圣节前夜打了补丁，并被跟踪为CVE-2019-13720；第二个漏洞是一种内存混乱漏洞，被跟踪为CVE-2020-6418，已在2月份修复。