首页 > 传媒 > 关键词 > Windows字体引擎漏洞最新资讯 > 正文

360专家在国际会议披露Windows字体引擎漏洞研究成果

2012-12-14 17:29 · 稿源:站长之家用户投稿

自微软公司将字体解析引擎由用户态移植至操作系统的内核态后,系统运行效率得到提升,但由此也带来一定的安全风险。在12月14日举办的360SyScan国际安全会议上,来自国内最大安全厂商360公司的王宇针对Windows字体解析引擎的安全问题,进行了深入的讲解,这也是国际技术会议首次披露该漏洞的研究细节。 

图:360云安全工程师王宇首次在安全大会上讲解系统字体安全

王宇首先介绍了字体从点阵字体到轮廓字体的发展历程,在长达二十多年的系统字体演进期间,Adobe、苹果以及微软公司对系统字体标准的发展做出了巨大贡献。王宇也表示目前基于字体的研究是站在了巨人的肩膀上。

2011年,著名的Duqu病毒利用Windows字体引擎漏洞传播,也将字体引擎安全问题暴露出来。对此,王宇详细讲解了字体引擎的主要接口、核心数据结果、基本执行等内容。并利用TrueTypeViewer字体调试工具以及Windows NT4.0相关代码对系统字体引擎进行现场展示分析。王宇还分享了自己在系统字体引擎方面的研究,他认为字体引擎的递归命令一旦被恶意利用可能导致“死循环”,但漏洞被修复后也可能导致递归功能无法作为正常命令使用。

王宇表示,字体解析引擎是一个时代的产物,尽管其存在一些缺陷和漏洞,但这不能否认字体解析引擎的优点。王宇称微软正在日益重视字体引擎安全问题,360公司在12月12日已帮助4亿多用户推送了微软12月最新安全补丁,其中一个补丁程序就修复了系统TrueType及OpenType字体漏洞。

360SyScan国际安全会议由360公司与SyScan携手打造,旨在为国内外安全技术人士提供更加广阔和开放的交流平台。本次会议为期两天,吸引了超过300多名安全行业人士参会,包括国内主流安全厂商、信息安全科研单位及大学院校代表等,是国内迄今规格最高的安全技术会议之一。

关于奇虎360科技有限公司

奇虎360(NYSE:QIHU)是中国第一大互联网安全服务提供商。按照用户数量计算,目前奇虎360是中国第三大互联网公司。作为“免费安全”的首创者,奇虎360为近4亿中国互联网用户提供领先的互联网和无线安全产品及服务,覆盖率近90%。奇虎360通过提供细致、完善的平台服务以及网络安全服务,以开放平台实现商业价值,与合作伙伴共同建立起多方共赢的互联网生态体系。

网友热搜:

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签

热文

  • 3 天
  • 7天