OpenType-Fonts (EOT) waren die Transporter des »Google-Hacks«

Reportage und Interview mit Ivo Gabrowitsch

google_china_logoVon dem chine­si­schen Hacker-Angriff auf Google, den Sicherheitsexperten inzwi­schen ›Operation Aurora‹ getauft haben, sind über 30 weitere High-Tech-Firmen betroffen, darunter Adobe, Yahoo, Symantec und Dow Chemical. Bei den Anschlägen handelt es sich um ausge­klü­gelte Phishing-Attacken, die sich einer Microsoft-Font-Technologie mit dem Namen Embedded OpenType (EOT) bedienen (vgl. ZDNet: Another critical font engine vulnera­bi­lity). EOT-Fonts sind eine kompakte Variante von OpenType-Schriften mit der Endung .eot, die mittels der Microsoft Web Embedding Font Tools (WEFT) aus bestehenden TrueType-Fonts gene­riert werden. Die Technik dient unter anderem dazu, Internetseiten mit vom Webdesigner ausge­suchten Schriften zu gestalten, die den Empfängern solcher Seiten mitge­lie­fert werden, so dass diese den Text der Seite in der glei­chen typo­gra­fi­schen Qualität betrachten können, wie sie gestaltet wurden. EOT ist eine von mehreren Font-Techniken, die das verbind­liche Gestalten von Webseiten möglich machen soll, und von der sich Webdesigner und Schriftanbeiter neue Aufträge erhoffen.

EOT ist ein proprie­tärer Standard, der auf Browser-Ebene alleine vom Internet Explorer unter­stützt wird. Laut Untersuchungen von Microsoft und des Security-Unternehmens McAffee wurde bei den Attacken im Dezember 2009 EOT einge­setzt, um eine Sicherheitslücke im Internet Explorer auszu­nutzen (vgl. Microsoft: Security Bulletin MS10-001 – Critical). Gegenüber Spiegel Online spricht der McAffee-Security-Experte Dmitri Alperovitch von einem »Angriff mit nie da gewe­sener Raffinesse«. Angestellte der oben zitierten US-Unternehmen hätten Ende des Jahres E-Mails erhalten, die sie dazu bewegen sollten, mit dem Internet Explorer eine präpa­rierte Website zu besu­chen. Das bloße Aufrufen dieser Seite hätte für die Infiltration des Rechners genügt, eine so genannte Drive-By-Infektion.

Angriffspunkt der Schadsoftware war die für die Dekodierung der OpenType-Schriften einge­setzte Rendering-Engine, die nicht nur im Explorer zum Einsatz kommt, sondern ebenso in den Office-Programmen und in Powerpoint. Im Verlauf dieses Dekodierungs- und Dekomprimierungsprozesses wurde die einge­schleuste Schadsoftware montiert und akti­viert, weil der dekom­pri­mierte Datenstrom nicht streng genug geprüft wird (Microsoft zu diesem Thema).

ivo_gabrowitschWie gefähr­lich sind OpenType-Webfonts? Wie gefähr­lich ist der Besuch einer mit Webfonts gestal­teten Internetseite? Fontblog hat zu diesem Thema einen Freund und inter­na­tional ange­se­henen Kollegen befragt, der bereits in seiner Diplomarbeit über Webfonts schrieb, Vorträge zu diesem Thema hält und im Moment bei FSI FontShop International (FontFont) für die Entwicklung und Einführung einer eigenen Webfont-Bibliothek verant­wort­lich ist: Ivo Gabrowitsch.

Fontblog: Fonts, also digi­ta­li­sierte Schriften, galten jahr­zehn­te­lang als passives Datenmaterial, das keinen Schaden anrichten kann. Die Schriften der neueren Generation nach dem OpenType-Standard erfreuten Designer zuletzt mit typo­gra­fi­scher Intelligenz, wie Buchstabenverknüpfungen oder auto­ma­ti­schen Ligaturen. Hättest Du jemals gedacht, dass diese Technik ein fahr­barer Untersatz für Hackerangriff werden könnte?

Ivo: In Bezug auf die Sicherheit im Internet halte ich einiges für möglich. Fonts weisen eine ähnliche Struktur auf wie viele andere im Netz über­tra­genen und aufge­ru­fenen Daten. Es hat in der Vergangenheit bereits Angriffe mit mani­pu­lierten Dateien gegeben, die Fehler in Betriebssystemroutinen ausge­nutzt haben, zum Beispiel bei der Verarbeitung und Darstellung von Fotos. Insofern ist es also nicht gerade eine Sensation, dass nun auch Fonts als Wolf im typo­gra­fi­schen Schafspelz miss­braucht werden.

Die Fontindustrie hat fast 10 Jahre für die Anerkennung des zwei­fellos komfor­ta­blen OpenType-Formats gekämpft. Nun war der Durchbruch gerade geschafft, jetzt dieser Missbrauch, der dem Ruf des Formats schaden könnten. Ist das Image der OT-Fonts in Gefahr?

Nein, absolut nicht. Die Vorteile des Formats sind unbe­stritten und wie schon ange­deutet sind Fonts letzt­lich Daten bzw. Software, die beim Aufruf entspre­chend erstellter Websites auf den eigenen Rechner über­tragen werden, genauso wie Flash-Dateien, MP3s, PDFs usw. Font Software ist inso­fern etwas Besonderes, als dass ihre Funktion vergleichs­weise eng mit dem Betriebssystem verzahnt ist.

Der einzige Ruf, der leiden wird, ist der des Internet Explorers. Im Grunde könnte man auch ein posi­tives Fazit ziehen: Erneut wird Benutzern als auch den Browser-Entwicklern in Erinnerung gerufen, alle nötigen Vorkehrungen zu treffen, sich selbst bzw. die Anwender vor solchen Angriffen zu schützen.

In den vergan­gene Jahren hat FontShop International bereits Tausende von OpenType-FontFonts in Umlauf gebracht. Ist die Benutzung dieser Schriften gefähr­lich?

OpenType-Fonts – egal von welchem Schriftenhaus – stellen per se keine Gefahr dar. Natürlich verlassen auch unsere Produkte die Produktion in einem einwand­freien und sicheren Zustand. Alle OpenType-FontFonts sind digital signiert. Bei Manipulationen am Font wird die Signatur ungültig bzw. entfernt. Ein Browser prüft diese Signatur bei Webfonts aller­dings (noch) nicht. Vielleicht müssen die Browserentwickler auf solche Mechanismen zukünftig mehr Rücksicht nehmen, als sie es heute tun. Für Dritte, die Font-Software uner­laubt für ihre Zwecke miss­brau­chen, kann also kein Hersteller eine Verantwortung über­nehmen.

Was müssen die Benutzer von OpenType-Schriften beachten.

Es sind also nur EOT-Fonts betroffen. Normale OpenType-Fonts haben keine interne Kompression und werden auch nicht von der fehler­haften Programmbibliothek (»t2embed.dll«) verar­beitet. Beachten müssen die Benutzer allen­falls die Lizenzbestimmungen und die Wahl des für den konkreten Fall geeig­neten Formats. In unserem Fall sind die OT-Fonts für den meist krea­tiven Druckvorstufen-Bereich und die Office-Fonts für den Einsatz mit Programmen wie z. B. Microsoft Word, Excel und Powerpoint oder OpenOffice opti­miert … und sicher.

Wie gefähr­lich ist es für Internet-Surfer Webseiten zu besu­chen, die einge­bet­tete OpenType-Schriften einsetzen?

Genauso gefähr­lich wie bei Websites, die auf lokale Systemfonts zurück­greifen. Wenn von einer Website Gefahr ausgeht, dann sind über­tra­gene Fonts genauso mögliche Träger von schäd­li­chem Code wie alle anderen über­tra­genen Daten auch. So oder so, Benutzer von Microsofts Internet Explorer sowie Benutzer nicht regel­mäßig aktua­li­sierter Browser sind auf jeden Fall deut­lich häufiger betroffen als dieje­nigen, die a) mit Alternativbrowsern und b) mit Browsern auf dem neuesten tech­ni­schen Stand unter­wegs sind, zum Beispiel Firefox 3.5 oder Safari 4.

Glaubst Du, dass ein Webdesigner gut beraten ist, seinem Auftraggeber eine einge­bet­tete OpenType-Schrift für die Gestaltung seiner Webseite zu empfehlen?

Absolut. Das Problem ist hier bisher ja eher ein anderes, nämlich die tech­ni­sche Beschränkung durch die Browser. Der Internet Explorer erlaubt bisher als einziger Browser ein Format, welches prin­zi­piell jede nicht auf dem Zielrechner instal­lierte Schrift verfügbar macht, nämlich das bereits erwähnten EOT-Format. Ein weiteres Format schickt sich aller­dings gerade an EOT lang­fristig zu verdrängen. Mozillas Firefox wird mit der in den nächsten Tagen zu erwar­tenden Version 3.6 der erste Browser sein, der das soge­nannte WOFF (Web Open Font Format) unter­stützt. Es ist damit zu rechnen, dass die Schrifthersteller bald reagieren und sowohl entspre­chende Fonts also auch entspre­chende Lizenzen anbieten werden. Dann heißt es für viele Webgestalter »Goodbye, Arial.«

Vielen Dank für das Gespräch, Ivo.


14 Kommentare

  1. Philipp Schilling

    Warum über­rascht mich das jetzt über­haupt nicht, dass ausge­rechnet Microsoft-Produkte mal wieder eine große Sicherheitslücke aufweisen? Schade nur, dass nun ausge­rechnet so ein elegantes Format wie OT dafür miss­braucht wurde.

  2. Sebastian Nagel

    Geht es nicht eigent­lich um das: Ich als böser Angreifer erstelle mir einen Opentype-Font, schleuse den Schadcode ein, plat­ziere diesen Font auf einer Webseite, und bringe dann Leute dazu, diese zu besu­chen. Der anfäl­lige Browser verar­beitet meine Datei und lässt dabei den Schadcode ins System.
    Sprich: Das Fontformat an sich ist “sicher” (wie auch gefähr­lich, sind ja nur passive Daten), die Interpreter sind hingegen poten­tiell anfällig.

    Für mich kommt es im Interview ein wenig so rüber, als könnten irgendwie “normale” Fonts von ehrbaren Foundries infi­ziert werden (was dann aber natür­lich entkräftet wird – aller­dings schon in “Verteidungshaltung”).
    Der Fall würde eigent­lich nur auftreten, wenn jemand die tolle Schrift XY von Foundry Z nehmen, sie mit Schadcode versehen, und dann in einer Tauschbörse verteilen, in der Hoffnung, dass die Sharer den Font dann einsetzen und sich der Schadcode dadurch verbreitet.
    Wer korrekt Schriften einkauft und diese dann einsetzt, gefährdet hingegen weder sich noch seine Website-Besucher.

    Allerdings gefährde ich mich tatsäch­lich, wenn ich mir ohne Bestätigung Daten aus dem Internet lade, und diese von meinem Rechner verar­beiten lasse (bei Fonts natur­gemäß der Fall). Da schützt mich im Grunde auch kein Alternativbrowser, der ist höchs­tens sicherer, aber nicht sicher. Ob wir mit “Don’t down­load webfonts”-Optionen in Browsern rechnen müssen?

  3. Jens Kutílek

    Wer korrekt Schriften einkauft und diese dann einsetzt, gefährdet hingegen weder sich noch seine Website-Besucher.

    Richtig!

    Ob wir mit “Don’t down­load webfonts”-Optionen in Browsern rechnen müssen?

    Solche Optionen gibt es bereits. Sinnvoller als einfach abzu­schalten wäre aber die Überprüfung von »Fremddaten« vor der Verarbeitung durch das Betriebssystem. Das gehört eigent­lich zum kleinen Einmaleins des Programmierens, aber weil Webfonts lange Zeit kein Thema waren, haben sich in den schon recht alten Codeteilen anschei­nend einige Lücken lange unbe­merkt gehalten.

  4. Erik van Blokland

    Pardon my English. I think the headllne “OpenType fonts” might perhaps be more to the point when it says “EOT fonts”. Some reports point out the vulnera­bi­lity lies in the MTX compres­sion, very specific to EOT – it is not part of OpenType, or even “webfonts”.

  5. Maik

    Der Internet Explorer erlaubt bisher als einziger Browser ein Format, welches prin­zi­piell jede nicht auf dem Zielrechner instal­lierte Schrift verfügbar macht, nämlich das bereits erwähnte EOT-Format.

    Bitte nicht lügen. Diverse Browser unter­stützen passende Formate (TTF/OTF), die das tech­nisch problemlos erlauben, und das weißt du auch.
    „Bei allen anderen von derzei­tigen Browsern unter­stützten Formaten weigern wir uns, Schriften dafür frei­zu­geben, und das nicht aus tech­ni­schen Gründen“ ist eine ganz andere Aussage.
    Frechheit, das auf die Browser abschieben zu wollen.

  6. Jürgen Siebert

    You are right, Erik. I will add that Detail to the head­line. Many thanks. J

  7. Ivo

    Bitte nicht lügen. Diverse Browser unter­stützen passende Formate (TTF/OTF), die das tech­nisch problemlos erlauben, und das weißt du auch.

    Du meinst natür­lich vor allem Raw Fonts mittels der @font-face-Regel. Klar weiß ich das. Das funk­tio­niert in vielen Browsern, wird aber nicht von einer annä­hernd entschei­denden Masse an Schriftherstellern unter­stützt und wird es auch zukünftig nicht. Bei EOT, das bisher nur im IE funk­tio­niert, war das anders. Da haben z.B. schon Ascender und Monotype/Linotype, die zu den wich­tigsten Foundries zählen, entspre­chende Lizenzen ange­boten. Um die Essenz des Ganzen aber nicht noch kompli­zierter zu machen als es ohnehin schon ist, habe ich mich auf die Mechanismen beschränkt, die aktuell und zukünftig noch eine entschei­dende Rolle für profes­sio­nelle Schriften spielen.

    „Bei allen anderen von derzei­tigen Browsern unter­stützten Formaten weigern wir uns, Schriften dafür frei­zu­geben, und das nicht aus tech­ni­schen Gründen“ ist eine ganz andere Aussage. Frechheit, das auf die Browser abschieben zu wollen.

    Zum einen weigern sich die Hersteller tatsäch­lich aus den gege­benen tech­ni­schen Gründen, dieses Format zu unter­stützen und zum anderen ist es eben doch ein Problem der Browser. Ich kann doch nicht ein Format bereit­stellen, was die Belange der Hersteller der Schriften nicht im Ansatz berück­sich­tigt und von ihnen erwarten, dass sie das so hinnehmen und gefäl­ligst ihre Lebensgrundlage dafür zur Verfügung zu stellen haben. Aber verzeih mir wenn ich darum bitte, diese leidige Diskussion nicht mehr weiter zu führen. Damit haben wir alle viel zu viel Zeit verplem­pert. Wir sind in einem ange­nehmen Kontakt mit Unternehmen wie z.B. Microsoft und Mozilla, die das längst verstanden haben und sind gemeinsam auf einem sehr guten Weg, bald einen akzep­ta­blen Kompromiss für alle Beteiligten anzu­bieten. Dann sind die bishe­rigen Alternativen wie Cufón, Raw Fonts, sIFR usw. schneller Geschichte als sich die meisten Webdesigner über­haupt damit beschäf­tigen konnten.

  8. Ivo

    Leider bleibst du uns ein Beispiel besserer Argumentation noch schuldig. Natürlich kenne ich den von dir so geschätzten Klassiker. Die meisten Hersteller von Schriften verstehen die Problematik und empfinden sie ähnlich. Schließlich möchten sie nichts mehr, als ihre Schriften auch für das Medium unserer Zeit zur Verfügung zu stellen. Unglaublich eigent­lich, dass wir Websites heute immer noch mit Systemschriften gestalten müssen. Die wirk­lich Leidtragenden, die zu Recht Frust schieben, sind die Webdesigner. Ich habe da vollstes Verständnis, ich habe diesen Frust selbst als Mediengestalter bei der Gestaltung von Websites erlebt und möchte auch aus dieser Erfahrung heraus alles mir Mögliche tun, diesen Zustand zu beenden. Aber das Ganze funk­tio­niert eben nicht so, wie viele sich das vorstellen.

    Wir gehören zu den größten Schriftherstellern der Welt. Neben unseren vielen Designern, die wir vertreten, stecken hinter FontFont tatsäch­lich nur knapp 20 Leute! Entsprechend kann man sich dann auch ausrechnen, wie über­sicht­lich eigent­lich der Umsatz mit Fonts ist und wir nicht die Raubritter der Kreativszene sind, als die man uns gerne hinstellt. Wir haben keine goldene Schreibtische, aber einen der schönsten Jobs auf der Welt. Der Grund, warum wir uns vor den zuvor genannten Technologien drücken ist: wir wollen diese Jobs behalten.

    Wir stecken aber nicht den Kopf in den Sand und warten, dass irgendwer da draußen gefäl­ligst eine Lösung für uns entwi­ckelt. Erik van Blokland zum Beispiel (Mitglied unseres TypeBoards) war selbst einer der drei Entwickler des ange­spro­chenen WOFF. Wir haben als erste große Foundry im letzten Jahr Techniken wie sIFR und Flash erlaubt, haben mit der gar nicht so recht ins Bild passenden Entscheidung mit Typekit zusam­men­zu­ar­beiten ein deut­li­ches Signal gesetzt, dass wir unsere Fonts den Webdesigern zur Verfügung stellen WOLLEN und unsere Freunde von FontShop haben mit der Axel sogar aus eben dieser Intention heraus eine Schrift veröf­fent­licht, die sogar »Raw« genutzt werden kann um nicht zuletzt auch entspre­chende Erfahrungswerte daraus zu ziehen. Ich habe persön­lich mit verschie­denen Browserherstellern gespro­chen, welche mir versi­chert haben, unsere Bedenken ernst zu nehmen und Mozilla wird ja daher auch in Kürze WOFF-Unterstützung anbieten und selbst Microsoft hat uns gegen­über versi­chert, WOFF zu imple­men­tieren, aller­dings den Ball wieder zu uns zurück­ge­spielt weil sie zuerst entspre­chende Lizenzen von uns fordern. Wir werden dieser Forderung noch in diesem Jahr nach­kommen! Ich habe auch mit Entwicklern anderer Technologien gespro­chen, zum Beispiel den Cufón-Leuten. Auch sie haben unsere Argumentation nach­voll­ziehen können und respek­tiert und wir haben gemeinsam über­legt, wie wir Cufón dahin bringen können, dass es eben sicherer wird, so wie es z.B. die Typekit-Leute auch mit der Raw-Fonts-Technologie geschafft hat.

  9. derrasterpunkt

    Ich hätte mir ein wenig mehr Professionalität bei der Auswahl der Fragen gewünscht. Das war ja pure Angstmache – à la Interview mit einem Anti-Virenhersteller. Die Prophezeien ja auch immer wieder gerne mal die Apokalypse der Macintosh-Platform. Nicht das da nichts dran wäre, irgend­wann(!) giebt es auch mal Schadsoftware [in the wild] für Mac OS aber dieses Gelaber ist wahr­lich pures FUD!

    Herr Gabrowitsch hat vorzüg­lich geant­wortet, auf einen Haufen unnö­tiger Fragen. Es steht doch schon im dritten Satz das EOT-Schriften das Übel sind und nicht OpenType im Allgemeinen …

    Desweiteren stehen ja nicht Designer in der Kritik die sich solche Schriften lizen­siert haben sondern Microsoft die diese Türe offen stehen haben lassen.
    Die Lücke wird geschlossen werden, an den EOTs muss doch nichts verän­dert werden, auch besteht kein erhöhtes Risiko für Leute die auf Firmen-Websites surfen, die diese Schriften gewis­sen­haft (ohne Schadcode) einsetzen.
    Wie auch immer … das musste ich loswerden …

  10. Hendrik Runte

    Ist also die Aussage, Schriften in Browsern »einge­bettet« ausschließ­lich mit MSIE verwenden zu können, dadurch rich­tiger, dass die anderen Umsetzungen bei Safari, Firefox, Chrome und anderen Gecko- oder Webkit-Derivaten von den Schriftenherstellern nicht unter­stützt werden? Nein, denn die Formulierung vermit­telt keinen Zusammenhang zu Verbreitung oder Unterstützung durch Schriftenhersteller: »Der Internet Explorer erlaubt bisher als einziger Browser ein Format, welches prin­zi­piell jede nicht auf dem Zielrechner instal­lierte Schrift verfügbar macht, …«.

    Richtig hingegen ist: Der Internet Explorer war der erste Browser, der eine solche Technik unter­stützte. Da die Lizenzfragen aber bis heute nicht ausrei­chend geklärt sind, wurde EOT so gut wie nie einge­setzt, sondern mit zum Teil untaug­li­chen zum Teil inter­es­santen Krücken ersetzt (Flash-sFIR, CSS-Sprites).

    Aber, erin­nern wir uns: Das plötz­liche Interesse an der Verwendung von »einge­bet­teten« Schriften in WebSites rührt ausschließ­lich an der Implementierung der CSS3-Funktion @font-face in WebKit (Safari, Chrome, uvm), die erst­mals ermög­lichte, OpenType-Fonts unver­än­dert zu verwenden. Das ist einer der wich­tigsten Punkte, der Typografie-Interessierte über­haupt dem Thema näher brachte. Und nicht die EOT-Implementierung im Microsoft Internet Explorer (, die ja offen­sicht­lich Gefahren birgt).

  11. till1

    @jürgen: ich möchte ungern rumnör­geln, weil ich sonst nie etwas zu bean­standen habe, aber die von raster­punkt ange­spro­chene PR-typi­sche Pseudo-Interviewform klingt doch ziem­lich aufge­setzt. Ein direktes Statement von Ivo hätte es doch auch getan.

  12. Jürgen Siebert

    Es waren schlicht Fragen, die sich mir am Freitagnachmittag stellten. Und meine 20jährige FontShop-Erfahrung sagt mir, dass unsere Kunden sich ähnliche Fragen stellen werden.

    Geht einfach mal davon aus, dass nicht jeder Mensch tech­nisch so bewan­dert ist wie ihr. Als ich bei heise und Spiegel-Online gelesen habe, dass Fonts dazu benutzt werden können, Schadsoftware zu verteilen und zu instal­lieren … da haben bei mir schlicht die Alarmglocken geläutet. Ich mache mir jeden­falls Sorgen um unser Business. Schön zu hören, dass Ihr das anders seht.

  13. till1

    nein, darum geht es nicht. aber schon gut, ich bin nur etwas über­sen­sibel. sorry.

Kommentarfunktion ist deaktiviert.

<em>kursiv</em>   <strong>fett</strong>   <blockquote>Zitat</blockquote>
<a href="http://www…">Link</a>   <img src="http://bildadresse.jpg">