Canvaがフォントセキュリティの脆弱性3件を発見、デジタル安全への警鐘

オーストラリアのグラフィックデザインプラットフォームであるCanvaは、フォントのセキュリティ問題を調査し、3つの脆弱性を発見した。これらの問題は、グラフィック処理の複雑で普遍的な部分であるフォントに関連している。

CVE-2023-45139は、Pythonで書かれたフォント操作ライブラリであるFontToolsに見つかった高重大度のバグで、不信なXMLファイルを使用してSVGテーブルを処理し、不要なスクリプトを削除してフォントのサイズを減らす試みである。
【編集者追記】2024/05/13
※表現がバグの内容を正しく表していないため、修正いたします。文章中段の追記をご参照ください。

CVE-2024-25081とCVE-2024-25082は、それぞれ命名規則と圧縮に関連し、4.2/10の評価を受けている。FontForgeやImageMagickのようなツールは、フォントのファイル名を変更でき、ユーザーがコレクション内で望ましいフォントをより簡単に見つけるための複雑な命名システム内で作業できるようにする。しかし、不信なデータを操作する際にファイル名を保持する必要性は、セキュリティ上の課題を引き起こす。

Canvaは、フォントがしばしばアーカイブファイルとして配布されること、およびFontForgeがアーカイブファイルの目次を解析する際に発見された脆弱性について説明した。この方法を使用して、研究者はFontForgeでコマンドインジェクションを実現し、サーバーモードとデスクトップアプリケーションの両方でこれが可能であると警告した。

Canvaは、企業や個人が独自のタイポグラフィを必要とするため、フォントの風景が攻撃面で溢れていると強調し、フォントを他の不信な入力と同様に扱うことを提唱した。同社は将来的に更なるフォントセキュリティの研究を期待しており、この分野がまだセキュリティ成熟度に欠けていると信じている。

【編集者追記】2024/05/13
CVE-2023-45139について

この脆弱性を悪用すると、攻撃者がSVGテーブルを含むOpenTypeフォントを解析する際に、任意のエンティティを解決できてしまいます。その結果、FontToolsが実行されているファイルシステム上の任意のファイルを読み込んだり、ホストシステムから不正なWebリクエストを送信できる可能性があります。

つまり、この脆弱性はフォントのサイズを減らすためのものではなく、リモートコード実行やサービス運用妨害につながる深刻な脆弱性です。本文の表現は不正確で、CVE-2023-45139の本質を正しく捉えていませんので修正いたします。

この脆弱性は、FontToolsのサブセット化モジュールにおけるXMLの入力検証の欠如に起因しています。FontToolsチームはバージョン4.43.0でエンティティ解決を無効化するパッチをリリースし、対策を講じています。

【編集者追記】用語解説

• FontTools: Pythonで書かれたフォントを操作するためのライブラリ
• OpenType/TrueTypeフォント: デジタルフォントの標準的なファイル形式
• CVE (Common Vulnerabilities and Exposures): 公開された脆弱性に割り当てられる一意の識別子
• Canva: オーストラリアに本社を置くグラフィックデザインプラットフォーム企業

【参考サイト】
Canvaオフィシャルサイト（外部）

【関連記事】
サイバーセキュリテイ関連の記事をinnovaTopiaでもっと読む

【ニュース解説】

オーストラリアのグラフィックデザインプラットフォームであるCanvaが、フォントに関連するセキュリティ問題の調査を行い、その過程で3つの脆弱性を発見しました。この調査は、グラフィック処理において重要な役割を果たすフォントが、攻撃の対象となり得る「未探索の攻撃面」であることを示しています。

まず、CVE-2023-45139という高重大度のバグは、FontToolsというPythonで書かれたフォント操作ライブラリに見つかりました。このバグは、不信なXMLファイルを使用してSVGテーブルを処理し、不要なスクリプトを削除してフォントのサイズを減らす試みに関連しています。このプロセス中に、悪意のあるファイルが生成される可能性があります。

次に、CVE-2024-25081とCVE-2024-25082は、それぞれ命名規則と圧縮に関連する脆弱性で、評価は4.2/10です。フォントのファイル名を変更するツール（例えばFontForgeやImageMagick）は、ユーザーがコレクション内で望ましいフォントをより簡単に見つけるために役立ちますが、不信なデータを操作する際にセキュリティ上の課題を引き起こす可能性があります。

特に、フォントがアーカイブファイルとして配布される場合、FontForgeがアーカイブファイルの目次（TOC）を解析する際に脆弱性が発見されました。この脆弱性を利用すると、伝統的なファイル名の無害化技術を迂回し、悪意のあるファイル名を含むアーカイブを作成することで、攻撃者はシステムに不正なコマンドを注入することが可能になります。

この問題の根底には、企業や個人が独自のタイポグラフィを必要とする現代のデジタル環境があります。フォントは単なる文字のスタイルではなく、ブランドのアイデンティティや情報の伝達方法に深く関わっています。そのため、フォントのセキュリティは、単に美学的な問題ではなく、情報セキュリティの問題としても重要です。

Canvaのこの調査は、フォントを他の不信な入力と同様に扱うべきであるという提言につながりました。フォントに関するセキュリティ研究はまだ成熟していない分野であり、今後の研究によって、より安全なデジタル環境の実現に貢献することが期待されます。

この問題に対処するためには、開発者やデザイナーだけでなく、ソフトウェアツールの提供者や利用者も、フォントファイルを扱う際には慎重になる必要があります。また、セキュリティ研究者や業界全体が、フォントに関連する脆弱性に対する意識を高め、対策を講じることが重要です。長期的には、フォントのセキュリティ問題に対するより広範な認識と、これらの問題を解決するための技術的な進歩が、デジタル環境の安全性を高める鍵となるでしょう。

from Font security ‘still a Helvetica of a problem’ says Australian graphics outfit Canva.