图形设计需要对安全策略进行全球审查。

澳大利亚图形设计公司Canva的 新 研究发现了一些与字体相关的安全漏洞。

专家在“不寻常的地方”发现了三个漏洞，强调字体是图形处理中复杂而广泛的一部分，以前可能在安全环境中被忽视。

第一个漏洞 CVE-2023-45139 是在 FontTools 库中发现的，该漏洞的严重性评级为 7.5 分（满分 10 分）。它涉及在尝试减小字体大小时处理不受信任的 XML 文件，这可能会导致对文件的未经授权的访问。

另外两个漏洞 CVE-2024-25081 和 CVE-2024-25082 的 初步评分为 4.2（满分 10），与命名约定和文件压缩有关。因此，研究人员演示了如何使用特制的文件名，强制 FontForge 和 ImageMagick 等工具开放对本来不应该访问的数据的访问。

特别注意通过存档文件分发字体，这可以更容易地传播漏洞。特别是，在使用 FontForge 工具处理存档目录时，发现了一个允许执行恶意代码的漏洞。

Canva 强调，与字体相关的安全问题早就应该出现，并回顾了 Google 2015 年的零项目，该项目也强调字体安全是一个关键领域。

该公司鼓励像任何其他类型的不可信输入一样对待字体，并希望看到这一领域的进一步研究，以提高未来字体的安全性。

文章原文链接:https://www.anquanke.com/post/id/293742