Windows Updateでフォントが表示できなくなる

追記:12月21日のアップデートにて問題は解消しています。

久しぶりにWindows Updateに凄いのがやってきた。OpenTypeのCFF(Compact Font Format)のアウトラインをアプリケーションから取得できなくなっている。アウトラインを取得するためのAPI、GetGlyphOutline()が、少なくともCFFに格納されているPostscriptフォントで動作していないらしい。

Fonts break after Windows security patch KB2753842

現状での回避方法は、Criticalとされるセキュリティ・アップデートのMS12-078をアンインストールするしかないわけだが……正直なところ、お勧めできる方法ではない。このセキュリティアップデートが対策する脆弱性は「リモートからのコード実行」という極めて危険性の高いもので、対象となるOSは以下のリストを見る限り、Windows XP以降の全てのデスクトップWindows OSだ。

2010年にも似たような問題が報告されているが、このときの影響は「DoS」またはコード実行による「権限昇格」であり、ローカルでの危険性として報告されていた。

 

Microsoft Windows OpenType Compact Font Format Driver Vulnerability

今回「リモートからのコード実行」というCriticalなものになったのはWebフォントのためだろう。フォントをインストールさせなければならなかった2010年と異なり、マルウェアを仕込んだサイトを踏ませるだけで攻撃が成功してしまうのは、確かに影響範囲が広い。しかし、充分なテストは為されなかったようだ。Adobeやモリサワ、フォントワークスなどの商用DTP用OpenType書体のほとんどが、今、多くのアプリケーションで使えなくなってしまっている。

セキュリティ・アップデートは出し直しになるだろうが、久しぶりに凄いWindows Updateだった。

ここからは妄想に属す戯れ言なのだが、2010年はDoSや権限昇格で済んでいた問題が、今回はコードを実行する深刻な脆弱性となった。まさか、とは思うが、カーネルモードで動作する正常なPostScriptコードが「悪意ある行為を行う」脆弱性であったりしないだろうか。実行可能なコードが善意に基づくものか悪意を持って作られたものかを機械的に見分けるのは困難だ。もしそうだとすれば、対処する方法は開発元のコードサイニングを施すような、プラットフォームへの参入障壁を用いる方法ぐらいしか思いつかない。

 

This post is also available in: English

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

%d人のブロガーが「いいね」をつけました。