谷歌在今天早些時候推出了Chrome瀏覽器的86.0.4240.111版本，以修復正在被積極利用的CVE-2020-15999零日漏洞。據悉，該漏洞源於Chrome中隨附的FreeType字體渲染庫的內存崩潰bug，隨後谷歌內部安全團隊之一的Project Zero研究人員發現了針對該漏洞的野外攻擊。

團隊負責人Ben Hawkes 表示，其發現別有用心者正在濫用FreeType Bug 對Chrome 用戶發起攻擊。

儘管在今日早些時候發布的FreeType 2.10.4 版本中，已經包含了針對該漏洞的補丁修復，但Ben Hawkes 還是敦促使用相同字體渲染庫的其它廠商也盡快更新其軟件，以防止此類攻擊的擴大化。

Chrome 用戶可通過瀏覽器內置的更新功能（菜單 -> 幫助 -> 關於），升級到最新的86.0.4240.111 版本。

等到其它軟件廠商在未來幾個月內實施了修復之後，想必谷歌Project Zero 也會披露有關有CVE-2020-15999 漏洞利用的更多細節。

據悉，CVE-2020-15999 是過去12 個月以來，第三次被發現存在野外利用的Chrome 零日漏洞（此前還有2019 年10 月的CVE-2019-13720、以及2020 年2 月的CVE- 2020-6418）。

感興趣的朋友，可移步至FreeType 開源項目主頁了解這個零日漏洞。