图形设计需要对安全策略进行全球审查。
澳大利亚图形设计公司Canva的 新 研究发现了一些与字体相关的安全漏洞。
专家在“不寻常的地方”发现了三个漏洞,强调字体是图形处理中复杂而广泛的一部分,以前可能在安全环境中被忽视。
第一个漏洞 CVE-2023-45139 是在 FontTools 库中发现的,该漏洞的严重性评级为 7.5 分(满分 10 分)。它涉及在尝试减小字体大小时处理不受信任的 XML 文件,这可能会导致对文件的未经授权的访问。
另外两个漏洞 CVE-2024-25081 和 CVE-2024-25082 的 初步评分为 4.2(满分 10),与命名约定和文件压缩有关。因此,研究人员演示了如何使用特制的文件名,强制 FontForge 和 ImageMagick 等工具开放对本来不应该访问的数据的访问。
特别注意通过存档文件分发字体,这可以更容易地传播漏洞。特别是,在使用 FontForge 工具处理存档目录时,发现了一个允许执行恶意代码的漏洞。
Canva 强调,与字体相关的安全问题早就应该出现,并回顾了 Google 2015 年的零项目,该项目也强调字体安全是一个关键领域。
该公司鼓励像任何其他类型的不可信输入一样对待字体,并希望看到这一领域的进一步研究,以提高未来字体的安全性。
发表评论
您还未登录,请先登录。
登录