3 月 1 日訊息 據 MSPowerUser 2 月 28 日報道，谷歌公開了一個 Win10 系統的漏洞，該漏洞可使使用者在不知情的情況下授權惡意軟體訪問核心的權利，從而遭受黑客攻擊。這個漏洞來源於 Windows 的字型渲染器 Microsoft DirectWrite。

這個字型渲染器是被 Chrome、Firefox 和 Edge 等主流網路瀏覽器用作預設的字型光柵化器，用於渲染網路字型字形。它容易被特製的 TrueType 字型破壞，從而導致其記憶體損壞和崩潰，然後惡意程式可以用來獲得核心使用許可權，黑客也可以遠端在目標系統上執行任意操作。

瞭解到，谷歌旗下 Project Zero 的研究人員在一個名為 Microsoft DirectWrite 的文字渲染 API 中發現了這個漏洞，該缺陷的資料庫程式碼為 CVE-2021-24093。他們在 11 月向微軟安全響應中心報告了該漏洞。微軟公司於 2 月 9 日釋出了安全更新，在所有易受攻擊的平臺上解決了這一問題

攻擊者可以通過誘導目標使用者訪問帶有惡意製作的 TrueType 字型的網站，從而利用 CVE-2021-24093，觸發 fsg_ExecuteGlyph API 函式中緩衝區溢位，從而獲得 Windows 的核心使用許可權。

建議所有微軟使用者進行安全更新，以避免遭到惡意站點或軟體的攻擊。