Même les ingénieurs graphistes de chez Canva n’en reviennent pas. Jamais ils n’auraient pensé que décompresser une archive de polices pouvait libérer un malware.
L’entreprise australienne de renom dans le domaine de la conception graphique en ligne Canva ne ménage pas ses efforts pour renforcer la sécurité de ses processus. Elle a d’ailleurs déployé fin 2023 de nouveaux outils graphiques dopés à l’IA.
Récemment, ses experts en sécurité ont exploré les aspects moins examinés des polices de caractères, révélant ainsi des vulnérabilités surprenantes et mettant en évidence les risques potentiels pour la sécurité associés à l’utilisation des polices de caractères.
La première faille, identifiée sous le code CVE-2023-45139, présente un problème de haute sévérité (7,5/10) dans FontTools, une bibliothèque en Python. Canva a dévoilé que l’utilisation d’un fichier XML non fiable lors du traitement d’un tableau SVG pouvait conduire à la création d’une police sous-dimensionnée, exposant ainsi des risques de sécurité significatifs. Cette vulnérabilité dévoile les complexités de la manipulation des polices de caractères, souvent négligées dans le domaine de la sécurité informatique.
La deuxième et la troisième vulnérabilité CVE-2024-25081 et CVE-2024-25082, toutes les deux notées 4,2/10, révèlent des vulnérabilités associées aux conventions de nommage et à la compression. Sur son blog, Canva souligne que des outils populaires tels que FontForge et ImageMagick, utilisés pour renommer les fichiers des polices, peuvent introduire des problèmes de sécurité lorsqu’ils opèrent sur des données non fiables. Les chercheurs ont par ailleurs démontré qu’une simple exécution shell pouvait ouvrir des fichiers non autorisés, soulignant ainsi l’ampleur du risque lié à ces pratiques.
Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.
Bots et IA biaisées : une menace silencieuse pour la cybersécurité des entreprises Introduction Les…
Cloudflare en Panne : Causes Officielles, Impacts et Risques pour les Entreprises Le 5 décembre…
Introduction La cybersécurité est aujourd’hui une priorité mondiale. Récemment, la CISA (Cybersecurity and Infrastructure Security…
La transformation numérique face aux nouvelles menaces Le cloud computing s’impose aujourd’hui comme un…
Les attaques par déni de service distribué (DDoS) continuent d'évoluer en sophistication et en ampleur,…
Face à l'adoption croissante des technologies d'IA dans les PME, une nouvelle menace cybersécuritaire émerge…
This website uses cookies.