web-dev-qa-db-ja.com

TrueTypeフォントに悪意のあるコードを含めることはできますか?

私はこれに関する情報を探していましたが、それほどしっかりしたものは見つかりませんでした。 fonttoolsライブラリのTTXツールを使用してフォントをXML形式に逆コンパイルしましたが、ファイルから何も取得できませんでした。

TrueTypeフォントに悪意のある可能性のある実行可能コードが含まれている可能性はありますか?

7
ADAMPOKE111

TrueType のウィキペディアのエントリによると、レンダリング中にヒント言語が使用されます。このヒンティング言語は仮想マシンによって処理されますが、悪意のあるヒンティングコードがその仮想マシンのさまざまな実装の脆弱性を利用する機会を与えます。

実行されていないデータが不良であると、バッファオーバーフローが発生し、コードが実行されるべきでない場所で実行される可能性があることに注意してください。したがって、データ形式に実行可能コードまたは仮想的に実行可能なコードが含まれていないからといって、コードが含まれていないとは限りません。リモートコード実行につながる可能性のある脆弱性。

6
LawrenceC

ええと...直接的ではありませんが、非常に確実に間接的です。

ターゲットシステムにすでに存在するコードファイルを使用して、実行可能ファイルの実際のバイトを構築するマルウェアペイロードのタイプがあります。その既存のコードファイルは、感染する各システムで完全に同じである必要があります。提供されたマルウェアの唯一のコードは、ビルドされるコードの位置(バイトごと)を知ることによってバイトをアセンブルするコードです。

たとえば、コードファイルの位置105にバイト0xF3があり、悪意のあるコードにアセンブルするために必要な次のバイトが0xF3である場合、ビルドマルウェアでエンコードされるのは「105」であり、実際のコードバイトをファイル。

たとえば、ほとんど/すべてのWindowsシステムで同じファイルはどれですか?結局のところ、WingdingsフォントファイルはWindowsで変更されておらず、現代風のシステムにまでさかのぼります。

そして、私はこれを夢見ていませんでした-それはすべて説明されています ここ 、コード例で。

1
RBerman