Biasanya desainer Format belum memiliki keamanan dan parsing oleh aplikasi asing dalam pikiran, kadang-kadang spesifikasi yang sulit untuk mendapatkan, tapi, apa yang terburuk adalah spesifikasi yang mengklaim sesuatu dan kemudian pelaksanaan utama tidak mengikuti itu, memungkinkan buruk
orang untuk menghindari mudah parser ketat (seketat sebagaimana ditentukan dalam docs).
Kami sudah membuat blog tentang masalah tersebut di masa lalu.
Seperti yang saya berurusan dengan Tertanam Open Type (EOT) di masa lalu saya telah menerima beberapa sampel terdeteksi dari rekan saya.
Itu sampel EOT disebutkan dalam blog ini dan beberapa contoh lainnya download olehnya.
EOT adalah bentuk kompak font OpenType - menggunakan beberapa kompresi khusus berdasarkan format file tertentu untuk mengurangi ukuran file.
Aku berlari perangkat internal kami pada file terdeteksi untuk melihat apa yang aku rindu dalam analisis sebelumnya dan saya cukup cepat menemukan di mana masalahnya terletak.
Saya harus membaca spesifikasi OpenType Font file lagi untuk melihat apakah saya melewatkan sesuatu.
4 byte pertama dari file font OpenType lapangan containpodi disebut "versi sfnt".
Spesifikasi OpenType Font file mengatakan:
OpenType font yang berisi garis besar TrueType harus menggunakan nilai 1,0 untuk versi sfnt .Font OpenType berisi data CFF harus menggunakan tag ' OTTO ' sebagai nomor versi sfnt .CATATAN : Apple spesifikasi TrueType font memungkinkan untuk 'benar ' dan ' typ1 ' untuk versi sfnt .Tag ini versi tidak boleh digunakan untuk font yang mengandung tabel OpenType .
Juga spesifikasi TTF Apple mengatakan :
Font untuk Windows harus menggunakan 0 × 00010000 .
Ini memvalidasi untuk file font terkenal seperti arial.ttf - lihat
arial.ttf gambar.Tapi ketika kami menganalisis file yang didownload EOT
berbahaya dan membongkar untuk mendapatkan file TTF , kami telah melihat konten
seperti yang digambarkan pada gambar PjNmvEsWb.eot dibongkar .
 |
| arial.ttf |
 |
| PjNmvEsWb.eot unpacked |
Sehingga terlihat bahwa bidang " versi sfnt " dari OpenType Font file juga
dapat berisi nilai 0x00020000 ( nilai 2,0 ) .Jadi saya mencoba untuk
memodifikasi font arial - Saya mengubah byte kedua dari 0x01 ke 0x02 dan
membukanya di Microsoft Windows XP SP3 dan bekerja !Saya juga mencoba beberapa
nilai-nilai lain , tetapi tidak berhasil .Jadi saya diubah deteksi seperti yang
Anda lihat pada hasil VirusTotal :
Asli sampel dari artikel :
Sampel download oleh rekan :
