Nul
Google har åbent indkøbt et internt redskab, der kan hjælpe sikkerhed forskere med at finde sikkerheds fejl i font-displayet (lednings) komponenter.
Værktøjet er opkaldt BrokenType og er udført af Google Project Zero security engineer Mateusz Jurczyk, en af de førende eksperter i font-relaterede sikkerhed bugs [1, 2, 3].
I sin kerne, BrokenType er en fuzzer, som er et specielt værktøj, der lever et program med store mængder af tilfældige data og analyserer deres produktion til abnormiteter –som til gengæld give udviklere et hint om tilstedeværelsen af mulige fejl i deres kode.
Ligesom de fleste Google-open-source-projekter, BrokenType er en respektabel og kamp-testet af. Jurczyk siger, at han brugte BrokenType mellem 2015 og 2017 til at finde og rapportere 20 sikkerhedsrisici i Windows-kernen font rasterisering-bibliotek, og en anden 19 sikkerhedshuller i Microsoft Uniscribe -, Windows API for kontrol af operativsystemet typografi indstillinger.
Jurczyk siger, at BrokenType vil hjælpe sikkerhed forskere identificere sårbarheder, der påvirker de biblioteker, der anvendes til gengivelse af TrueType-og OpenType-skrifttyper, de to mest udbredte font formater, der anvendes i dag.
Se også: Google Project Zero: ‘Her er hemmeligheden til at angive fejl, før hackere finde dem’ | Google lover at folien phishing-angreb med nye Titan sikkerhedsnøgle
På grund af den afgørende betydning, og forekomsten af font rastering biblioteker i stort set alle stationære og mobile operativsystemer, font sikkerhed spørgsmål, der er meget efterspurgt af angribere, som en svaghed alene kan tillade trussel aktører til at målrette et væld af OS-versioner og platforme.
For eksempel, HackingTeam, en italiensk virksomhed, der sælger hacking værktøjer til regeringer, var kendt for at have ejet og falbyder udnytter det, der er målrettet font-relaterede svagheder.
Sjældent har et år er gået i de seneste hukommelse, uden at en større font-relaterede sikkerhed problem, der påvirker Windows-brugere såsom dem, der er rapporteret i 2013, 2015, 2016, 2017, og endnu dette år, i 2018.
Desuden font spørgsmål er ikke begrænset til OS-niveau komponenter, men også påvirke font lednings biblioteker indlejret med mere komplekse software, såsom Firefox eller Adobe Reader, for blot at nævne et par stykker.
Se også: Windows 10 sikkerhed: Google Project Zero makulerer Microsoft ‘ s unikke Edge-forsvar | Google patches reCAPTCHA bypass sårbarhed
Dette er ikke første gang, at Google ingeniører har indkøbt en fuzzing værktøj.
Google har tidligere udgivet en fuzzing værktøj hedder Flayer i 2007. På det tidspunkt, sagde Google sin ingeniører, der anvendes Flayer til at opdage flere fejl i projekter, som OpenSSH, OpenSSL, LibTIFF, og libPNG.
Søg giant ‘ s ingeniører senere open source to andre fuzzers kaldet Syzkaller og OSS-Fuzz, en for fuzzing OS kerne komponenter, og den anden for fuzzing mere jordnære og køre-of-the-mill open source-projekter og biblioteker.
Sidst, men ikke mindst, Google open source Domato i slutningen af 2017, en fuzzer for at finde sårbarheder i moderne browsere. På det tidspunkt, Google sagde Domato hjulpet sine ingeniører identificere og rapportere 31 sikkerhed bugs i moderne browsere, de fleste blev fundet i Safari.
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0