Уязвимость кроется в API Microsoft DirectWrite, предназначенном для рендеринга шрифтов. В частности, это средство растеризации текста по умолчанию используется основными браузерами вроде Chrome, Firefox и Edge. С помощью специальных шрифтов семейства True Type злоумышленники получают доступ к ядру системы для дальнейшего выполнения вредоносных действий.
Участники проекта Google Project Zero сообщили в Microsoft о существовании уязвимости, получившей кодовое название CVE-2021-24093, ещё в ноябре прошлого года. В феврале Microsoft выпустила обновления безопасности для всех уязвимых платформ.
Известно, что проблема касается множества версий Windows 10 и Windows Server, вплоть до версии 20H2. Для борьбы с возможным взломом пользователям рекомендуется обновить все применяемые системы обеспечения безопасности.