谷歌发布了Chrome 86 . 0 . 4240 . 111版本，该版本带来了安全修复，包括针对主动利用的零日漏洞的补丁。

根据ZDNet报告，零日漏洞被追踪为CVE-2020-15999，并被描述为“标准Chrome发行版中包含的FreeType字体呈现库中的内存损坏错误”。

谷歌内部安全团队之一的0号项目利用FreeType错误发现了这些攻击。零号项目的负责人本霍克斯也指出了那些具有威胁性的演员，他们正在滥用这个FreeType错误来攻击Chrome用户。

Hawkes敦促所有应用程序供应商使用相同的FreeType库来更新他们的软件，以防威胁行为者“决定转移对其他应用程序的攻击”。

Chrome用户可以通过浏览器内置的更新功能将其更新到v86.0.4240.111。转到Chrome菜单，单击帮助，然后转到关于谷歌Chrome选项进行更新。

ZDNet指出，关于CVE-2020-15999的主动利用尝试的更详细信息尚未公开，谷歌通常会“搁置几个月的技术细节，让用户有足够的时间更新，甚至让最小的线索不落入攻击者的视线”。手”。

然而，由于零日补丁在开源项目FreeType的源代码中可见，“预计威胁行为者将能够在几天或几周内对零日进行反向工程，并提出自己的漏洞利用”。

CVE-2020-15999是过去12个月中在野外使用的第三个Chrome零日漏洞。前两个是CVE-2019-13720(发生在2019年10月)和CVE-2020-6418(发生在2020年2月)。