Mi sono incuriosito su come scansionare o valutare il rischio di un particolare file di font prima di distribuirlo agli host. La prima linea di difesa, ovviamente, è assicurarsi che i nostri host siano corretti rispetto a tutte le vulnerabilità dei font TrueType.
Ho letto l'eccellente ricerca di Google Project Zero e sembra che valga la pena di comprendere i rischi derivanti dai caratteri. Ho letto anche la risposta di Tom Leek questo suggerisce (molto sensibilmente) di provare il font su Linux prima di provarlo su Windows perché:
it would be very hard to craft a "malicious font" which can install a virus on a Windows system, but otherwise works "correctly" on a Linux system
Infine, ho installato una libreria python (FontTools) che consente una conversione da un file .ttf a un file .xml leggibile. Nel file risultante, ci sono centinaia di righe di codice assembly in quanto esiste un "meccanismo di suggerimento" in ogni file .ttf. È in questo codice assembly che un utente malintenzionato inserisce exploit.
Per ulteriori indagini, mi piacerebbe confrontare un file .ttf noto come cattivo, come quelli che sono stati usati per sfruttare le vulnerabilità di gestione dei caratteri, con un file .ttf noto. Immagino che sarebbe difficile individuare le differenze senza una conoscenza approfondita dell'assemblaggio, ma mi piacerebbe dare un'occhiata, o almeno ascoltare qualcuno da queste parti se una cosa del genere è possibile. Quindi, la domanda è: qualcuno conosce un modo per analizzare i file .ttf per i comandi sospetti e qualcuno sa dove trovare un file .ttf utilizzato per sfruttare le vulnerabilità di gestione dei caratteri.