Графический дизайн требует глобального пересмотра политик безопасности.
В новом исследовании австралийской компании Canva, специализирующейся на графическом дизайне, был выявлен ряд уязвимостей безопасности, связанных со шрифтами.
Эксперты обнаружили три уязвимости в «необычных местах», подчёркивая, что шрифты представляют собой сложную и широко распространённую часть обработки графики, которая ранее могла оставаться без должного внимания в контексте безопасности.
Первая уязвимость, CVE-2023-45139, получившая рейтинг серьёзности 7,5 из 10 по шкале CVSS, была найдена в библиотеке FontTools. Она связана с обработкой ненадёжных XML-файлов при попытке уменьшить размер шрифта, что может привести к несанкционированному доступу к файлам.
Две другие уязвимости, CVE-2024-25081 и CVE-2024-25082, с предварительной оценкой 4,2 из 10, — связаны с конвенциями именования и сжатием файлов. Так, исследователи продемонстрировали, как с помощью специально созданных имён файлов можно заставить инструменты, такие как FontForge и ImageMagick, открывать доступ к тем данным, доступа к которым изначально быть не должно.
Особое внимание уделено распространению шрифтов через архивные файлы, что может упростить распространение уязвимостей. В частности, при обработке оглавления архива инструментом FontForge была обнаружена уязвимость, позволяющая выполнить вредоносный код.
Canva подчёркивает, что проблемы безопасности, связанные со шрифтами, давно требуют внимания, напоминая о проекте Google Project Zero 2015 года, который также выделял безопасность шрифтов в критическую область.
Компания призывает относиться к шрифтам так, как и к любому другому типу ненадёжных входных данных, выражая надежду на дальнейшие исследования в этой области, чтобы повысить уровень безопасности шрифтов в будущем.
Сбалансированная диета для серого вещества