Не стоит доверять шрифтам: Canva сообщила о трёх уязвимостях, ведущих к неминуемому взлому

В новом исследовании австралийской компании Canva, специализирующейся на графическом дизайне, был выявлен ряд уязвимостей безопасности, связанных со шрифтами.

Эксперты обнаружили три уязвимости в «необычных местах», подчёркивая, что шрифты представляют собой сложную и широко распространённую часть обработки графики, которая ранее могла оставаться без должного внимания в контексте безопасности.

Первая уязвимость, CVE-2023-45139, получившая рейтинг серьёзности 7,5 из 10 по шкале CVSS, была найдена в библиотеке FontTools. Она связана с обработкой ненадёжных XML-файлов при попытке уменьшить размер шрифта, что может привести к несанкционированному доступу к файлам.

Две другие уязвимости, CVE-2024-25081 и CVE-2024-25082, с предварительной оценкой 4,2 из 10, — связаны с конвенциями именования и сжатием файлов. Так, исследователи продемонстрировали, как с помощью специально созданных имён файлов можно заставить инструменты, такие как FontForge и ImageMagick, открывать доступ к тем данным, доступа к которым изначально быть не должно.

Особое внимание уделено распространению шрифтов через архивные файлы, что может упростить распространение уязвимостей. В частности, при обработке оглавления архива инструментом FontForge была обнаружена уязвимость, позволяющая выполнить вредоносный код.

Canva подчёркивает, что проблемы безопасности, связанные со шрифтами, давно требуют внимания, напоминая о проекте Google Project Zero 2015 года, который также выделял безопасность шрифтов в критическую область.

Компания призывает относиться к шрифтам так, как и к любому другому типу ненадёжных входных данных, выражая надежду на дальнейшие исследования в этой области, чтобы повысить уровень безопасности шрифтов в будущем.