Google publie un code d'exploitation pour le bogue d'exécution de code à distance de Windows 10 qui vient d'être corrigé
2 minute. lis
Publié le
Partagez cet article
Améliorer ce guide
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
Assurez-vous que vos correctifs Windows 10 sont à jour, car Project Zero de Google vient de publier un code de preuve de concept pour une faille Windows 10 qui vient d'être corrigée et qui peut être exploitée en visitant simplement une page Web.
Débordement de mémoire tampon basé sur le tas Microsoft DirectWrite dans fsg_ExecuteGlyph lors du traitement des polices TTF variables https://t.co/EM4zxsIXwK
— Projet Zéro Bugs (@ProjectZeroBugs) 24 février 2021
Le problème est une faille dans Microsoft DirectWrite, le moteur de rendu de polices Windows qui est également utilisé dans tous les navigateurs, et qui est vulnérable aux polices TrueType spécialement conçues qui peuvent provoquer une corruption de la mémoire et un plantage, qui peuvent ensuite être utilisés pour exécuter du code à privilèges du noyau.
« Vous trouverez ci-joint la police TrueType de preuve de concept avec un fichier HTML qui l'intègre et affiche le caractère AE », a noté Google. "Il reproduit le crash illustré ci-dessus sur un Windows 10 1909 entièrement mis à jour, dans tous les principaux navigateurs Web. La police elle-même a été sous-ensemble pour n'inclure que le glyphe défectueux et ses dépendances.
La faille, écrite sous le nom CVE-2021-24093, vient d'être corrigée le 9 février 2021, ce qui signifie que tous les utilisateurs qui ont retardé l'installation des mises à jour cumulatives de ce mois-ci sont toujours vulnérables.
En savoir plus sur le problème chez Google iciet corrigez votre ordinateur en vérifiant les mises à jour dans les paramètres.
via BleepingComputer
