谷歌的网络安全研究部门Project Project在周三披露了最近修补的Windows漏洞的详细信息，该漏洞可用于远程代码执行。

该漏洞跟踪为CVE-2021-24093，由Microsoft在2月9日发布其补丁星期二更新时进行了修补。Google的DominikRöttsches和Google Project Zero的Mateusz Jurczyk被认为可以向Microsoft报告此问题。

该漏洞的CVSS评分为8.8，但是Microsoft将该漏洞评为所有受影响的操作系统都至关重要。该列表包括Windows 10，Windows Server 2016和2019和Windows Server。

根据Microsoft的说法，该安全漏洞会影响Windows图形组件，可以通过将目标用户吸引到托管专门制作该漏洞的特制文件的网站来利用此漏洞。

Google研究人员于11月下旬向Microsoft报告了此漏洞，该漏洞报告在Microsoft发布补丁程序大约两周后于周三公开。

Jurczyk和Röttsches将CVE-2021-24093描述为基于DirectWrite堆的缓冲区溢出，与特制TrueType字体的处理有关。他们解释说，攻击者可以触发内存损坏情况，这种情况可以在DirectWrite客户端的上下文中用于执行任意代码。DirectWrite是一个Windows API，旨在实现高质量的文本呈现。

研究人员在所有主要浏览器中使用功能全面的Windows 10对其漏洞进行了测试。除了技术细节外，他们还发布了概念验证（PoC）漏洞。

但是，基于其可利用性评估，Microsoft认为该漏洞不会在野外被利用。