😊DigitalDanceDaily
Notícias Exibir por tópico AI? Jogos de Vídeo iPhone Android Apple Google Microsoft Hardware
😊DigitalDanceDaily

Contents

Violação de segurança do Canva

 included in Malware/Ransomware News, Malware/Ransomware, Computer Virus, Cocoon, Cyber ​​Security
   453 words   3 minutes 

/images/7f7a75e2f236cb430d72d6a6c6dc4dc8a1aebfb7098741d5a43046cfb0b0e016.jpg O malware está escondido em uma das fontes do Canva © Can go

Mesmo os engenheiros gráficos do Canva não conseguem acreditar. Eles nunca pensaram que descompactar um arquivo de fontes poderia liberar malware.

A estimada empresa australiana de design gráfico online está se esforçando diligentemente para melhorar a robustez de seus procedimentos e implementou as medidas necessárias até o final de 2023.

Descobertas recentes de nossos especialistas em segurança investigaram áreas da tipografia anteriormente inexploradas, revelando pontos fracos inesperados e lançando luz sobre possíveis ameaças que podem surgir da utilização de vários estilos de fonte.

/images/7347319530f543d8e957c79d6fa35d6b2b143118ba67896f2e0374050916a160.jpg Para descobrir 20 de agosto de 2023 às 11h30 Notícias

3 vulnerabilidades detectadas

A primeira falha, identificada sob o código CVE-2023-45139, apresenta um problema de alta gravidade (7.5/10) no FontTools, uma biblioteca em. O Canva revelou que usar um arquivo XML não confiável ao processar uma tabela SVG pode levar à criação de uma fonte subdimensionada, expondo riscos de segurança significativos. Esta vulnerabilidade revela as complexidades da manipulação de fontes, muitas vezes ignoradas no campo da segurança de TI.

As duas vulnerabilidades significativas identificadas por CVE-2024-25081 e CVE-2024-25082, cada uma com uma classificação de gravidade média de 4,2/10, revelam possíveis pontos fracos nas convenções de nomenclatura e nos processos de compactação. Em sua declaração oficial, o Canva alerta os usuários sobre os perigos representados por softwares comumente utilizados como FontForge e ImageMagick, que podem comprometer a integridade do sistema ao manipular dados de entrada suspeitos. Além disso, nossa equipe demonstrou, por meio de experimentos, que mesmo um ataque básico de injeção de comando pode resultar em acesso não autorizado a arquivos, ressaltando a magnitude dessa ameaça emergente.

/images/97c773716fc1d181c077bce1ab4cda23107362e878855793f6522c0a8b2179e0.jpg Preste atenção na fonte… bem, nas fontes! © estúdio Cottonbro/Pexels

Análise e perspectivas

Em seu blog, os desenvolvedores explicam: “Uma vulnerabilidade foi descoberta quando FontForge analisa o índice analítico (TOC) de um arquivo compactado. O TOC é uma lista de todos os arquivos compactados no arquivo e o FontForge o utiliza para extrair um arquivo de fonte para executar ações nele “.

Eles foram então capazes de criar um arquivo contendo um nome de arquivo malicioso, contornando as técnicas tradicionais de limpeza de nomes de arquivos e acionando o código de exploração.

O Canva destacou que o cenário das fontes é rico em superfícies de ataque, já que tanto empresas quanto indivíduos precisam de uma tipografia única – cada uma com suas próprias especificações.

As fontes, semelhantes a outras formas de entradas não confiáveis, devem ser tratadas com cautela pelos pesquisadores. O campo da segurança de fontes foi identificado como uma lacuna significativa nos atuais esforços de pesquisa em segurança.

/images/4c5cc54514cc7600783c29b36dbc1076d2f8c650469b047694d7fbf943dbfe68.jpg Para descobrir 1º de março de 2024 às 09h08 Comparações de serviços

Fonte: The Register, Canva

*️⃣ Link da fonte:

Updated on 2024-03-11
Back | Home