Canva, nền tảng thiết kế đồ họa phổ biến, đã công bố kết quả của cuộc nghiên cứu bảo mật của mình về font số. Cuộc điều tra của công ty đã phát hiện ba lỗ hổng chưa biết trước đây (CVEs) trong các công cụ phổ biến được sử dụng để xử lý và thao tác font. Những lỗ hổng này làm nổi bật những rủi ro bảo mật thường bị bỏ qua liên quan đến font số.

Vấn đề với font chữ

Điều tra của Canva đã chỉ ra, tiềm năng cho vấn đề an ninh trong xử lý font chữ không chỉ giới hạn ở các lỗi lạm dụng bộ nhớ được hiểu trước đây, mà còn bao gồm một phạm vi rộng lớn hơn của các lỗ hổng.

Nghiên cứu của Canva đã xác định rằng định dạng SVG, biết đến với những thách thức về bảo mật web. Bảng SVG trong các định dạng font như OpenType và TrueType, cũng như các font SVG đã bị loại bỏ, đại diện cho các phương pháp sáng tạo nhưng có thể dễ bị tấn công để tích hợp màu sắc và thiết kế vào chữ viết. Những phát hiện này khuyến khích việc đánh giá lại các lỗ hổng xử lý SVG và XML trong lĩnh vực xử lý font.

Những phát hiện chính:

  • Lỗ Hổng XML trong FontTools: FontTools, một thư viện Python phổ biến, đã được phát hiện có thể bị tấn công XML External Entity (XXE) khi xử lý bảng SVG trong một số định dạng font cụ thể. Điều này có thể cho phép kẻ tấn công đánh cắp dữ liệu nhạy cảm (CVE-2023-45139). Thông qua một bằng chứng thực tế, Canva đã thể hiện cách tạo ra các gói tin XML độc hại để trích xuất thông tin nhạy cảm, minh họa nguy cơ tiềm ẩn liên quan đến lỗ hổng này.
  • Tiêm Lệnh trong FontForge: Phần mềm chỉnh sửa font phổ biến FontForge đã được phát hiện có lỗ hổng tiêm lệnh do xử lý không đúng tên file lưu trữ. Điều này mở ra cánh cửa cho việc thực thi mã độc hại (CVE-2024-25081 và CVE-2024-25082).

Người dùng nên là gì?

  • Bảo mật Font Quan Trọng: Xử lý font cần được cẩn trọng như bất kỳ đầu vào không đáng tin cậy nào khác. Triển khai sandboxing, sử dụng các công cụ làm sạch và cập nhật với các lỗ hổng mới nhất.
  • Patching: Các nhà phát triển phần mềm và bảo trì phải ưu tiên patch cho các công cụ liên quan đến font để giảm thiểu các lỗ hổng được phát hiện. 

Nhóm bảo mật của Canva chia sẻ: “Đôi khi việc xử lý vấn đề bảo mật có thể khó khăn đối với những người bảo trì, do đó việc cung cấp patch bởi các kỹ sư bảo mật có thể tăng tốc quá trình và xây dựng mối quan hệ với cộng đồng mã nguồn mở,”

Hành động cần thực hiện

Nghiên cứu của Canva nhấn mạnh sự cần thiết của việc kiểm tra liên tục và thực hành an toàn trong lĩnh vực bảo mật font. Sự hợp tác lớn hơn giữa cộng đồng bảo mật và các nhà phát triển phần mềm là rất quan trọng để bảo vệ người dùng và hệ thống khỏi các cuộc tấn công tiềm năng.

Nguồn Security Online.