Même les ingénieurs graphistes de chez Canva n'en reviennent pas. Jamais ils n'auraient pensé que décompresser une archive de polices pouvait libérer un malware.
L'entreprise australienne de renom dans le domaine de la conception graphique en ligne Canva ne ménage pas ses efforts pour renforcer la sécurité de ses processus. Elle a d'ailleurs déployé fin 2023 de nouveaux outils graphiques dopés à l'IA.
Récemment, ses experts en sécurité ont exploré les aspects moins examinés des polices de caractères, révélant ainsi des vulnérabilités surprenantes et mettant en évidence les risques potentiels pour la sécurité associés à l'utilisation des polices de caractères.
20 août 2023 à 11h30
3 vulnérabilités détectées
La première faille, identifiée sous le code CVE-2023-45139, présente un problème de haute sévérité (7,5/10) dans FontTools, une bibliothèque en Python. Canva a dévoilé que l'utilisation d'un fichier XML non fiable lors du traitement d'un tableau SVG pouvait conduire à la création d'une police sous-dimensionnée, exposant ainsi des risques de sécurité significatifs. Cette vulnérabilité dévoile les complexités de la manipulation des polices de caractères, souvent négligées dans le domaine de la sécurité informatique.
La deuxième et la troisième vulnérabilité CVE-2024-25081 et CVE-2024-25082, toutes les deux notées 4,2/10, révèlent des vulnérabilités associées aux conventions de nommage et à la compression. Sur son blog, Canva souligne que des outils populaires tels que FontForge et ImageMagick, utilisés pour renommer les fichiers des polices, peuvent introduire des problèmes de sécurité lorsqu'ils opèrent sur des données non fiables. Les chercheurs ont par ailleurs démontré qu'une simple exécution shell pouvait ouvrir des fichiers non autorisés, soulignant ainsi l'ampleur du risque lié à ces pratiques.
Analyse et perspectives
Sur leur blog, les développeurs expliquent: « Une vulnérabilité a été découverte lorsque FontForge analyse la table des matières (TOC) d'un fichier d'archive. La TOC est une liste de tous les fichiers compressés dans l'archive et FontForge l'utilise pour extraire un fichier de police afin d'effectuer des actions sur celui-ci ».
Ils ont pu ensuite créer une archive contenant un nom de fichier malveillant, en contournant les techniques traditionnelles d'assainissement des noms de fichiers, et en déclenchant le code d'exploitation.
Canva a souligné que le paysage des polices de caractères est riche en surfaces d'attaque, car les entreprises comme les particuliers ont besoin d'une typographie unique - chacune avec ses propres spécifications.
Les chercheurs ont préconisé de traiter les polices comme n'importe quelle autre entrée non fiable et pensent que la sécurité des polices est un domaine qui manque cruellement de recherches en matière de sécurité.
30 octobre 2024 à 11h48
Source : The Register, Canva