Canva深入调查字体安全领域,发现了三个意想不到的漏洞,并揭示了选择错误的字体如何导致网络安全灾难。为了增强其工具的安全性,Canva一直在研究较少探索的攻击面,其中包括在图形处理中发挥重要作用的字体。
一份名为“字体仍然是Helvetica的问题”的报告中强调了三个漏洞,Canva最终宣布字体领域的攻击面实际上相当丰富。
第一个漏洞被追踪为CVE-2023-45139,是在用于处理字体的Python库FontTools中发现的。Canva发现,在处理SVG表以子集字体时,FontTools可以使用不受信任的XML文件,从而导致XML外部实体(XXE)漏洞。
研究人员利用此漏洞生成了包含SVG表和/etc/passwd有效负载的子集字体。FontTools在2023年9月收到漏洞通知三天后发布了补丁。
另外两个漏洞CVE-2024-25081和CVE-2024-25082的评分均为4.2/10,与命名约定和字体压缩有关。Canva在FontForge和ImageMagick等工具中处理文件名时发现了命令注入的可能性。这两个漏洞也都已得到解决。
Canva对开源字体软件和工具维护者的及时工作表示认可,并指出IT工作者应该通过实施沙盒和使用OpenType-Sanitizer等工具“像对待其他不受信任的输入一样对待字体”。
这并不是字体安全性第一次被提及,谷歌近十年前就探索过类似的问题,然而随着网络攻击的日益普遍和后果越来越严重,Canva建议我们关注不太明显的攻击面,这是非常明智的。