Inicio Google Google descubre un grave fallo en Windows 10

Google descubre un grave fallo en Windows 10

Recientemente el equipo de búsqueda de errores de 0 day de Google, compartió detalles técnicos y código de exploit de prueba de concepto (PoC) para un error crítico de ejecución de código remoto (RCE) que afecta a un componente gráfico de Windows.

Los investigadores de Project Zero descubrieron la vulnerabilidad, rastreada como CVE-2021-24093 , en una API de Windows de procesamiento de texto de alta calidad llamada Microsoft DirectWrite. El equipo de investigación informaron del error al centro de respuesta de seguridad de Microsoft en noviembre del año pasado. La compañía lanzó actualizaciones de seguridad para solucionar la falla en todas las plataformas vulnerables el pasado 9 de febrero.

💡 Te recomendamos leer | Microsoft ya prepara las PC para Windows 10 21H1

Google ya ha protegido a Chrome ante esta amenaza

La falla de seguridad que ha sido descubierta afecta a múltiples versiones de Windows 10 y Windows Server, hasta la versión 20H2, que es la última versión conocida. Después de la fecha límite de divulgación de 90 días, Project Zero publicó un código exploit de prueba de concepto que se puede usar para reproducir el error en los navegadores que se ejecutan en Windows 10 1909.

La API de DirectWrite se usa como el rasterizado de fuentes predeterminado por los principales navegadores web como Chrome, Firefox y Edge para representar glifos de fuentes web.

Dado que estos navegadores web utilizan la API de DirectWrite para la representación de fuentes, los atacantes pueden aprovechar la falla de seguridad para desencadenar un estado de corrupción de memoria que les permita ejecutar código arbitrario en los sistemas de los objetivos de forma remota.

Los atacantes pueden explotar CVE-2021-24093 engañando a los objetivos para que visiten sitios web con fuentes TrueType creadas con fines malintencionados que desencadenan un desbordamiento de búfer haciendo uso de la API fsg_ExecuteGlyph.

Por supuesto, Google ya ha solucionado la vulnerabilidad en su navegador Chrome con una actualización lanzada el mesa pasado.

Fuente | WBI 

Más en Blog Digital 👇

Rudy Rodriguez
Editor Senior en Blog Digital, todo sobre tecnología en general.... responsable de todo el contenido que se publica en este fantástico portal.

¡Artículos Relacionados!

¡Se el primero en comentar!

Dejar respuesta

Please enter your comment!
Please enter your name here