Noll
Google har öppen källkod-ett internt verktyg som kan hjälpa säkerhet forskare att hitta säkerhetsproblem i teckensnittet (rastrering) komponenter.
Verktyget heter BrokenType och är ett verk av Google Project Zero säkerhet ingenjör Mateusz Jurczyk, en av de ledande experterna i font-relaterade säkerhetsproblem [1, 2, 3].
I sin kärna, BrokenType är en fuzzer, vilket är ett speciellt verktyg som föder ett program med stora mängder av slumpmässigt data och analyserar sin produktion för avvikelser –vilket, i sin tur, att ge utvecklarna en antydan om förekomsten av eventuella buggar i koden.
Precis som de flesta Google-open-source-projekt, BrokenType är en respektabel och krigsvana verktyg. Jurczyk säger han använde BrokenType mellan 2015 och 2017 för att hitta och rapportera 20 säkerhetsproblem i Windows kernel font rastrering bibliotek, och en annan 19 säkerhetshål i Microsoft Uniscribe -, Windows API för att kontrollera de operativsystem som är typografi inställningar.
Jurczyk säger att BrokenType kommer att bidra till säkerhet forskare identifiera sårbarheter som påverkar bibliotek som används för rendering av TrueType-och OpenType-teckensnitt, de två mest utbredda font format som används idag.
Se även: Google Project Zero: “Här är hemligheten för att markera buggar innan hackare hitta dem’ | Google lovar att folien phishing-attacker med nya Titan-säkerhetsnyckel
På grund av den avgörande betydelsen och förekomsten av teckensnitt rastering bibliotek i praktiskt taget alla stationära och mobila operativsystem, teckensnitt säkerhetsfrågor är mycket eftertraktade av angripare, som en sårbarhet i sig kunde tillåta hot aktörer att rikta sig till en mängd OS-versioner och plattformar.
Till exempel, HackingTeam, ett italienskt företag som säljer hacking verktyg för att regeringar, som var känd för att ha ägt och trampade bedrifter som riktade font-relaterade sårbarheter.
Sällan har ett år gått i färskt minne, utan en större font-relaterade säkerhetsproblem som påverkar Windows-användare, såsom de redovisas i 2013, 2015, 2016, 2017, och även det här året, i och med 2018.
Dessutom, teckensnitt frågor inte begränsat till OS-nivå komponenter, men också påverka font rastrering bibliotek inbäddade med mer komplexa program som Firefox eller Adobe Reader, bara för att nämna några.
Se även: Windows 10 säkerhet: Google Project Zero strimlor Microsofts unika Kanten försvar | Google fläckar reCAPTCHA bypass sårbarhet
Detta är inte första gången som Google ingenjörer har öppen källkod-en bråkat verktyg.
Google har tidigare släppt en bråkat verktyg som heter Rackarn 2007. På den tiden, säger Google i sin ingenjörer som används Rackarn att upptäcka flera buggar i projekt som OpenSSH, OpenSSL, Re, och libPNG.
Sök giant ‘ s ingenjörer senare öppen källkod två andra fuzzers kallas Syzkaller och OSS-Fuzz, en för bråkat OS-kärnan komponenter, och den andra för bråkat mer vardagliga och run-of-the-mill open source-projekt och bibliotek.
Sist men inte minst, Google öppen källkod-Domato i slutet av 2017, en fuzzer för att hitta sårbarheter i moderna webbläsare. På den tiden, säger Google Domato hjälpte sina ingenjörer identifiera och rapportera 31 säkerhet buggar i moderna webbläsare, av vilka de flesta fanns i Safari.
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0