SyScan安全峰会：360工程师解读字体引擎漏洞

12月14日，360公司承办的国际顶级安全技术峰会——SyScan360在北京举行，微软、谷歌、McAfee等公司和安全组织成员现身发表最新安全研究成果。360公司安全研究人员王宇发表了《深入理解Windows字体解析引擎漏洞》主题演讲，分享了字体解析引擎内核化所带来的安全性问题。通过对该项目的研究，360工程师再次独家发现Windows0day漏洞，并已经将漏洞细节提交微软。

王宇是360公司的安全研究人员，主要从事云安全解决方案工作。在演讲中，他首先介绍了字体开发的历史，从点阵字体到轮廓字体的演变过程，同时强调了在微软的Windows以及苹果的MacOS 等操作系统中，都内置了字体解析引擎，目的是为了渲染 TrueType、OpenType等高质量的字体格式。自1989 年第一版字体解析引擎面世后，出于执行效率的考虑，微软公司决定将这些引擎由用户态移植至操作系统的内核态。这样的调整的确提升了系统的执行效率，但同时也引入了安全性问题，字体解析引擎暴露出了重要的内核攻击面。

2011年末，著名的Duqu恶意程序利用字体解析引擎中的漏洞进行传播。在演讲中，王宇深入剖析了恶意程序利用漏洞的执行流程。据他介绍，尽管微软已修复多个字体引擎漏洞，但仍然存在安全问题，360已将最新发现的0day漏洞信息提交微软。

SyScan前瞻信息安全技术年会是国际知名的信息安全会议之一，自2004年在新加坡首次举办以来已成功了8次会议。今年SyScan首次登陆北京，携手中国第一大互联网安全公司奇虎360合力举办，吸引了国内外超过300名技术人员参会，包括安全厂商工程师、科研院所、大学等相关单位人士。