En general: sí, las fuentes son un área potencial para la vulnerabilidad de la computadora, pero no son una vulnerabilidad particularmente masiva o preocupante en comparación con muchas otras. Varios han sido descubiertos a lo largo de los años y parcheados por proveedores de sistemas operativos. Informé uno de ellos, en nombre de mis colegas.
En general, dichas vulnerabilidades se abordan rápidamente, por lo que solo los sistemas sin parches son vulnerables durante un período de tiempo notable. Sugiero que las personas que no mantienen actualizada la seguridad de su computadora generalmente tendrán problemas mucho más probables que las fuentes mal de las que preocuparse.
Como usuario final, si la vulnerabilidad de las fuentes le preocupa especialmente, puede ejecutar un navegador como Chrome o Firefox que use la biblioteca OpenType Sanitizer para hacer una verificación independiente de la integridad de los datos de las fuentes antes de cargarlas. En teoría, esto debería conducir a un entorno más seguro (aunque observo que el propio OTS tenía una vulnerabilidad identificada en 2012).
Debido a que Mac OS no usa ni analiza el código de sugerencias en las fuentes TrueType, creo que, en principio, es menos vulnerable que Windows.
- ¿Cuáles son las categorías básicas de tipografías en la tipografía china?
- ¿Cuál es el equivalente japonés de Helvetica?
- ¿Qué tipo de letra ahorra más tinta?
- ¿Qué fuentes deben usarse para revistas digitales (por ejemplo, iPad)?
- ¿Por qué los términos simples de licencia de la aplicación no se han puesto de moda en la industria de las fuentes?
> Escuché que las fuentes True Type creadas incorrectamente podrían bloquear computadoras.
Al menos uno de estos errores fue identificado y corregido en Windows. De nuevo, se solucionó hace años. Cualquiera que sea vulnerable a este problema tiene muchas otras amenazas más comunes y más serias de las que preocuparse.
> ¿Los sistemas Nix también son potencialmente vulnerables?
Absolutamente. Simplemente haga una búsqueda en “fuente de vulnerabilidad de Unix” o “fuente de vulnerabilidad de Linux” y comience a leer. Por ejemplo: el servidor de fuentes es vulnerable en los sistemas UNIX.
No entraré en el debate filosófico sobre si las fuentes son programas, pero al menos las fuentes TrueType y OpenType pueden tener código ejecutable real en ellas, y al menos son estructuras de datos inmensamente complejas. Por supuesto, representan un área que el malware puede intentar atacar / explotar. Simplemente no es mucho más vulnerable que muchos otros.