- 9,536
- 18
- 8 Ноя 2022
Графический дизайн требует глобального пересмотра политик безопасности.
В Для просмотра ссылки Войдиили Зарегистрируйся австралийской компании Canva , специализирующейся на графическом дизайне, был выявлен ряд уязвимостей безопасности, связанных со шрифтами.
Эксперты обнаружили три уязвимости в «необычных местах», подчёркивая, что шрифты представляют собой сложную и широко распространённую часть обработки графики, которая ранее могла оставаться без должного внимания в контексте безопасности.
Первая уязвимость, Для просмотра ссылки Войдиили Зарегистрируйся получившая рейтинг серьёзности 7,5 из 10 по шкале CVSS, была найдена в библиотеке FontTools. Она связана с обработкой ненадёжных XML-файлов при попытке уменьшить размер шрифта, что может привести к несанкционированному доступу к файлам.
Две другие уязвимости, Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся с предварительной оценкой 4,2 из 10, — связаны с конвенциями именования и сжатием файлов. Так, исследователи продемонстрировали, как с помощью специально созданных имён файлов можно заставить инструменты, такие как FontForge и ImageMagick, открывать доступ к тем данным, доступа к которым изначально быть не должно.
Особое внимание уделено распространению шрифтов через архивные файлы, что может упростить распространение уязвимостей. В частности, при обработке оглавления архива инструментом FontForge была обнаружена уязвимость, позволяющая выполнить вредоносный код.
Canva подчёркивает, что проблемы безопасности, связанные со шрифтами, давно требуют внимания, напоминая о проекте Google Project Zero 2015 года, который также выделял безопасность шрифтов в критическую область.
Компания призывает относиться к шрифтам так, как и к любому другому типу ненадёжных входных данных, выражая надежду на дальнейшие исследования в этой области, чтобы повысить уровень безопасности шрифтов в будущем.
В Для просмотра ссылки Войди
Эксперты обнаружили три уязвимости в «необычных местах», подчёркивая, что шрифты представляют собой сложную и широко распространённую часть обработки графики, которая ранее могла оставаться без должного внимания в контексте безопасности.
Первая уязвимость, Для просмотра ссылки Войди
Две другие уязвимости, Для просмотра ссылки Войди
Особое внимание уделено распространению шрифтов через архивные файлы, что может упростить распространение уязвимостей. В частности, при обработке оглавления архива инструментом FontForge была обнаружена уязвимость, позволяющая выполнить вредоносный код.
Canva подчёркивает, что проблемы безопасности, связанные со шрифтами, давно требуют внимания, напоминая о проекте Google Project Zero 2015 года, который также выделял безопасность шрифтов в критическую область.
Компания призывает относиться к шрифтам так, как и к любому другому типу ненадёжных входных данных, выражая надежду на дальнейшие исследования в этой области, чтобы повысить уровень безопасности шрифтов в будущем.
- Источник новости
- www.securitylab.ru
