Nul
Google heeft een open-source een intern instrument dat kan helpen bij de beveiliging onderzoekers vinden security bugs in het lettertype van het display (rastering) onderdelen.
De tool met de naam BrokenType en is het werk van Google Project Zero security engineer Mateusz Jurczyk, één van de toonaangevende experts in font-gerelateerde security bugs [1, 2, 3].
In de kern, BrokenType is een fuzzer, dat is een speciaal programma dat alle feeds van een software-applicatie met grote hoeveelheden van willekeurige gegevens en analyseert hun output afwijkingen-die op hun beurt, geven de ontwikkelaars een hint over de aanwezigheid van mogelijke bugs in hun code.
Net als de meeste Google-open-source-projecten, BrokenType is een behoorlijke slag-getest tool. Jurczyk zegt hij gebruikt BrokenType tussen 2015 en 2017 te vinden en verslag 20 beveiligingslekken in Windows-kernel-font rastering bibliotheek, en andere 19 beveiligingslekken in Microsoft Uniscribe, een Windows API voor het besturen van het besturingssysteem typografie instellingen.
Jurczyk zegt dat BrokenType zal helpen security onderzoekers kwetsbaarheden te identificeren die van invloed bibliotheken gebruikt voor het renderen van TrueType en OpenType-lettertypen, de twee meest gebruikte lettertype formaten die vandaag gebruikt worden.
Zie ook: Google Project Zero: ‘Hier is het geheim te markeren up bugs voordat hackers vinden ze’ | Google toezeggingen folie voor phishing-aanvallen, met de nieuwe Titan beveiligingssleutel
Vanwege het cruciale belang en de prevalentie van het lettertype rastering bibliotheken in vrijwel elke desktop en mobiele besturingssystemen, lettertype security problemen zijn zeer gewild bij de aanvallers, als een kwetsbaarheid alleen kan dreigingen te richten op een veelheid van OS versies en platforms.
Bijvoorbeeld, HackingTeam, een italiaans bedrijf dat verkoopt hacking-tools aan overheden, stond bekend om zijn eigendom van en gevent exploits die gericht font-gerelateerde kwetsbaarheden.
Zelden heeft een jaar voorbij in de recente geschiedenis zonder een grote font-gerelateerde security issue waar Windows-gebruikers, zoals die gerapporteerd in 2013, 2015, 2016, 2017, en zelfs dit jaar in 2018.
Bovendien, het lettertype problemen zijn niet beperkt tot de OS-niveau componenten, maar ook van invloed op het lettertype rastering bibliotheken ingesloten met meer complexe software zoals Firefox of Adobe Reader, maar een paar te noemen.
Zie ook: Windows-10-beveiliging: Google Project Zero flarden van Microsoft ‘ s unieke Rand van defensie | Google patches reCAPTCHA bypass kwetsbaarheid
Dit is niet de eerste keer dat Google-ingenieurs hebben een open-source een fuzzing tool.
Google bracht eerder een fuzzing tool genaamd Flayer in 2007. Op het moment, Google zei dat ingenieurs gebruikt Flayer te ontdekken een aantal bugs in projecten zoals OpenSSH, OpenSSL, LibTIFF, en libPNG.
De zoekgigant de ingenieurs later open-sourced twee andere fuzzers genoemd Syzkaller en OSS-Fuzz, één voor fuzzing OS kernel-onderdelen, en de andere voor fuzzing meer alledaagse en run-of-the-mill open source projecten en bibliotheken.
Laatste maar niet de minste, Google open-source Domato eind 2017, een fuzzer voor het vinden van kwetsbaarheden in de moderne browsers. Op het moment, Google zei Domato hielp zijn ingenieurs identificeren en te rapporteren 31 security bugs in moderne browsers, waarvan de meeste gevonden werden in Safari.
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0