不要信任字体:Canva 报告了三个字体安全漏洞

阅读量31042

发布时间 : 2024-03-11 10:42:40

图形设计需要对安全策略进行全球审查。

澳大利亚图形设计公司Canva的 新 研究发现了一些与字体相关的安全漏洞。

专家在“不寻常的地方”发现了三个漏洞,强调字体是图形处理中复杂而广泛的一部分,以前可能在安全环境中被忽视。

第一个漏洞 CVE-2023-45139 是在 FontTools 库中发现的,该漏洞的严重性评级为 7.5 分(满分 10 分)。它涉及在尝试减小字体大小时处理不受信任的 XML 文件,这可能会导致对文件的未经授权的访问。

另外两个漏洞 CVE-2024-25081 和 CVE-2024-25082 的 初步评分为 4.2(满分 10),与命名约定和文件压缩有关。因此,研究人员演示了如何使用特制的文件名,强制 FontForge 和 ImageMagick 等工具开放对本来不应该访问的数据的访问。

特别注意通过存档文件分发字体,这可以更容易地传播漏洞。特别是,在使用 FontForge 工具处理存档目录时,发现了一个允许执行恶意代码的漏洞。

Canva 强调,与字体相关的安全问题早就应该出现,并回顾了 Google 2015 年的零项目,该项目也强调字体安全是一个关键领域。

该公司鼓励像任何其他类型的不可信输入一样对待字体,并希望看到这一领域的进一步研究,以提高未来字体的安全性。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66