Canva が FontTool/FontForge の3つの脆弱性を発見:フォントに潜むリスクとは?

Canva Uncovers Critical Font Vulnerabilities, Exposes Cybersecurity Risks

2024/03/10 SecurityOnline — 人気のグラフィック・デザイン・プラットフォームである Canva が発表したのは、デジタル・フォントに関するセキュリティ調査の結果である。この調査により、フォントの処理/操作に使用されている FontTool/FontForge に、新たな3つの脆弱性があることが明らかになった。これらの脆弱性が浮き彫りにするのは、フォントに関連する見過ごされがちなセキュリティ・リスクと、厳重な予防措置の必要性である。

フォントにまつわるセキュリティ問題

フォントのセキュリティをめぐる問題は、決して新しいものではない。過去においては、Google の Project Zero のような取り組みにより、フォント処理における脆弱性が浮き彫りになり、OpenType Sanitizer プロジェクトのような進展へとつながっていった。しかし、Canva の調査が明らかにしたように、フォント処理におけるセキュリティ問題の可能性は、これまで理解されてきたメモリ破損のバグにとどまらず、より広範な脆弱性にまで及んでいる。

Canva の調査により判明したのは、Web セキュリティ上の課題として知られる SVG フォーマットが、予期せぬ形でフォント技術と干渉しているということだ。OpenType や TrueType のようなフォント・タイプ内の SVG テーブルや、非推奨の SVG フォントは、タイポグラフィに色やデザインを統合するための革新的な技術である。しかし、その一方で、潜在的に脆弱な側面も持ち合わせている。これらの脆弱性の発見は、フォント処理の領域における、SVG/XML の取り扱いの脆弱性の再評価を促すものである。

主な調査結果
  • FontTools の XML 脆弱性 CVE-2023-45139:広く使われている Python ライブラリである FontTools に存在する脆弱性により、特定のフォント形式内の SVG テーブルを処理する際に、XML External Entity (XXE) 攻撃を受ける可能性があることが判明した。この脆弱性の悪用に成功した攻撃者は、機密データを盗み出すことが可能になる。Canvaは、PoC を通じて、悪意の XML ペイロードが機密情報を抽出するために、どのように細工されるのかを示し、この脆弱性に関連する潜在的なリスクを例証している。
  • FontForge のコマンド・インジェクション脆弱性 CVE-2024-25081/CVE-2024-25082:一般的なフォント編集ソフトウェアである FontForge に、コマンド・インジェクション攻撃に対する脆弱性が発見された。この脆弱性は、アーカイブ・ファイル名の不適切な取り扱いに起因するものであり、悪用されると、攻撃者に悪意のコードが実行される可能性がある。
ユーザーが行うべきこと
  • フォントのセキュリティを強化する:フォントを、その他の信頼できないデータと同じように、警戒して扱うこと。サンドボックスを実装し、サニタイズ・ツールを利用し、最新の脆弱性について常に更新しておくこと。
  • パッチを適用する:ソフトウェア開発者とメンテナンス担当者は、発見された脆弱性を緩和するために、フォント関連ツールに優先的にパッチを適用すること。

Canva のセキュリティ・チームからのコメント:

Canva の研究者は、「管理者がセキュリティ問題に対処するのは難しい場合があるため、セキュリティ・エンジニアたちにパッチを提供してもらうことで、プロセスをスピードアップし、オープンソース・コミュニティとの信頼関係を築くことができる」と述べている。

ユーザーへの呼びかけ

Canva の調査結果が訴えるのは、フォントのセキュリティの領域における、継続的な精査と安全な実践の必要性である。ユーザーとシステムを潜在的な攻撃から守るためには、セキュリティ・コミュニティとソフトウェア開発者の協力関係の強化が不可欠である。

FontTool/FontForge に存在する脆弱性を、Canva が発見/報告してくれました。その Canva について Wikipedia で調べたところ、「2013年1月1日にオーストラリアのパースに設立され、その年にユーザー数は 750,000 人を超えた。2014年4月には、ソーシャル メディアとテクノロジーの専門家 Guy Kawasaki が、チーフ・エバンジェリストとして参加。 2015 年には、マーケティング資料に焦点を当てた、Canva for Work が開始された。会計年度 2016〜17 において、Canva の収益は A$6.8 million から A$23.5 増加したが、A$3.3 million の赤字だった、ただし、2017 年には黒字に達し、294,000 人の有料サブスクライバーを獲得した」と解説されていました。