Même les ingénieurs graphistes de chez Canva n’en reviennent pas. Jamais ils n’auraient pensé que décompresser une archive de polices pouvait libérer un malware.
L’entreprise australienne de renom dans le domaine de la conception graphique en ligne Canva ne ménage pas ses efforts pour renforcer la sécurité de ses processus. Elle a d’ailleurs déployé fin 2023 de nouveaux outils graphiques dopés à l’IA.
Récemment, ses experts en sécurité ont exploré les aspects moins examinés des polices de caractères, révélant ainsi des vulnérabilités surprenantes et mettant en évidence les risques potentiels pour la sécurité associés à l’utilisation des polices de caractères.
La première faille, identifiée sous le code CVE-2023-45139, présente un problème de haute sévérité (7,5/10) dans FontTools, une bibliothèque en Python. Canva a dévoilé que l’utilisation d’un fichier XML non fiable lors du traitement d’un tableau SVG pouvait conduire à la création d’une police sous-dimensionnée, exposant ainsi des risques de sécurité significatifs. Cette vulnérabilité dévoile les complexités de la manipulation des polices de caractères, souvent négligées dans le domaine de la sécurité informatique.
La deuxième et la troisième vulnérabilité CVE-2024-25081 et CVE-2024-25082, toutes les deux notées 4,2/10, révèlent des vulnérabilités associées aux conventions de nommage et à la compression. Sur son blog, Canva souligne que des outils populaires tels que FontForge et ImageMagick, utilisés pour renommer les fichiers des polices, peuvent introduire des problèmes de sécurité lorsqu’ils opèrent sur des données non fiables. Les chercheurs ont par ailleurs démontré qu’une simple exécution shell pouvait ouvrir des fichiers non autorisés, soulignant ainsi l’ampleur du risque lié à ces pratiques.