Forscher haben kritische Sicherheitslücken in populären Schriftarten entdeckt, die bei der Webentwicklung und im Design verwendet werden. Diese Schwachstellen könnten XML External Entity (XXE)-Angriffe und die Ausführung beliebiger Befehle ermöglichen.
Die Sicherheitslücken, bekannt unter den Bezeichnungen CVE-2023-45139, CVE-2024-25081 und CVE-2024-25082, stellen ein erhebliches Risiko dar und erlauben XXE-Angriffe sowie die Ausführung beliebiger Kommandos durch Angreifer.
Diese Entdeckung wirft ein Licht auf die oft übersehenen Sicherheitsrisiken, die mit der Schriftartenverarbeitung in Softwareanwendungen und Betriebssystemen verbunden sind.
CVE-2023-45139 betrifft FontTools, eine vielseitige Python-Bibliothek zur Schriftartenmanipulation, insbesondere beim Umgang mit SVG-Tabellen in OpenType-Schriftarten. Dieser Mangel resultiert aus der Verwendung des LXML XML-Parsers durch die Bibliothek, der externe Entitäten standardmäßig auflöst. Angreifer könnten dies ausnutzen, indem sie bösartige XML-Inhalte innerhalb von SVG-Tabellen einbetten, was zu einem XXE-Angriff führen könnte.
CVE-2024-25081 und CVE-2024-25082 erlauben ebenfalls XXE-Angriffe, jedoch durch unterschiedliche Mechanismen und Kontexte, was Angreifern weitere Möglichkeiten bietet, die Verarbeitung von XML-Daten zu manipulieren.
Diese Sicherheitslücken wirken sich direkt auf die Sicherheit beliebter Schriftarten aus, da sie Schwachstellen in den Schriftarten-Rendering-Prozessen ausnutzen, die von zahlreichen Softwareanwendungen und Betriebssystemen verwendet werden.
Angesichts der Allgegenwart von Schriftarten in digitalen Umgebungen ist dieses Problem besonders weitreichend. Betroffene Systeme reichen von Webbrowsern und Dokumentenlesern bis hin zu Betriebssystemen, die auf Schriftarten-Rendering-Engines angewiesen sind, um Text anzuzeigen.
Da die digitale Welt sich weiterentwickelt, steigen auch die Herausforderungen, Sicherheit und Datenschutz zu gewährleisten. Alle Beteiligten müssen wachsam bleiben, informiert sein und bereit sein, gegen Bedrohungen aus unerwarteten Quellen zu handeln.