OpenType-Fonts (EOT) waren die Transporter des »Google-Hacks«
Reportage und Interview mit Ivo Gabrowitsch
Von dem chinesischen Hacker-Angriff auf Google, den Sicherheitsexperten inzwischen ›Operation Aurora‹ getauft haben, sind über 30 weitere High-Tech-Firmen betroffen, darunter Adobe, Yahoo, Symantec und Dow Chemical. Bei den Anschlägen handelt es sich um ausgeklügelte Phishing-Attacken, die sich einer Microsoft-Font-Technologie mit dem Namen Embedded OpenType (EOT) bedienen (vgl. ZDNet: Another critical font engine vulnerability). EOT-Fonts sind eine kompakte Variante von OpenType-Schriften mit der Endung .eot, die mittels der Microsoft Web Embedding Font Tools (WEFT) aus bestehenden TrueType-Fonts generiert werden. Die Technik dient unter anderem dazu, Internetseiten mit vom Webdesigner ausgesuchten Schriften zu gestalten, die den Empfängern solcher Seiten mitgeliefert werden, so dass diese den Text der Seite in der gleichen typografischen Qualität betrachten können, wie sie gestaltet wurden. EOT ist eine von mehreren Font-Techniken, die das verbindliche Gestalten von Webseiten möglich machen soll, und von der sich Webdesigner und Schriftanbeiter neue Aufträge erhoffen.
EOT ist ein proprietärer Standard, der auf Browser-Ebene alleine vom Internet Explorer unterstützt wird. Laut Untersuchungen von Microsoft und des Security-Unternehmens McAffee wurde bei den Attacken im Dezember 2009 EOT eingesetzt, um eine Sicherheitslücke im Internet Explorer auszunutzen (vgl. Microsoft: Security Bulletin MS10-001 – Critical). Gegenüber Spiegel Online spricht der McAffee-Security-Experte Dmitri Alperovitch von einem »Angriff mit nie da gewesener Raffinesse«. Angestellte der oben zitierten US-Unternehmen hätten Ende des Jahres E-Mails erhalten, die sie dazu bewegen sollten, mit dem Internet Explorer eine präparierte Website zu besuchen. Das bloße Aufrufen dieser Seite hätte für die Infiltration des Rechners genügt, eine so genannte Drive-By-Infektion.
Angriffspunkt der Schadsoftware war die für die Dekodierung der OpenType-Schriften eingesetzte Rendering-Engine, die nicht nur im Explorer zum Einsatz kommt, sondern ebenso in den Office-Programmen und in Powerpoint. Im Verlauf dieses Dekodierungs- und Dekomprimierungsprozesses wurde die eingeschleuste Schadsoftware montiert und aktiviert, weil der dekomprimierte Datenstrom nicht streng genug geprüft wird (Microsoft zu diesem Thema).
Wie gefährlich sind OpenType-Webfonts? Wie gefährlich ist der Besuch einer mit Webfonts gestalteten Internetseite? Fontblog hat zu diesem Thema einen Freund und international angesehenen Kollegen befragt, der bereits in seiner Diplomarbeit über Webfonts schrieb, Vorträge zu diesem Thema hält und im Moment bei FSI FontShop International (FontFont) für die Entwicklung und Einführung einer eigenen Webfont-Bibliothek verantwortlich ist: Ivo Gabrowitsch.
Fontblog: Fonts, also digitalisierte Schriften, galten jahrzehntelang als passives Datenmaterial, das keinen Schaden anrichten kann. Die Schriften der neueren Generation nach dem OpenType-Standard erfreuten Designer zuletzt mit typografischer Intelligenz, wie Buchstabenverknüpfungen oder automatischen Ligaturen. Hättest Du jemals gedacht, dass diese Technik ein fahrbarer Untersatz für Hackerangriff werden könnte?
Ivo: In Bezug auf die Sicherheit im Internet halte ich einiges für möglich. Fonts weisen eine ähnliche Struktur auf wie viele andere im Netz übertragenen und aufgerufenen Daten. Es hat in der Vergangenheit bereits Angriffe mit manipulierten Dateien gegeben, die Fehler in Betriebssystemroutinen ausgenutzt haben, zum Beispiel bei der Verarbeitung und Darstellung von Fotos. Insofern ist es also nicht gerade eine Sensation, dass nun auch Fonts als Wolf im typografischen Schafspelz missbraucht werden.
Die Fontindustrie hat fast 10 Jahre für die Anerkennung des zweifellos komfortablen OpenType-Formats gekämpft. Nun war der Durchbruch gerade geschafft, jetzt dieser Missbrauch, der dem Ruf des Formats schaden könnten. Ist das Image der OT-Fonts in Gefahr?
Nein, absolut nicht. Die Vorteile des Formats sind unbestritten und wie schon angedeutet sind Fonts letztlich Daten bzw. Software, die beim Aufruf entsprechend erstellter Websites auf den eigenen Rechner übertragen werden, genauso wie Flash-Dateien, MP3s, PDFs usw. Font Software ist insofern etwas Besonderes, als dass ihre Funktion vergleichsweise eng mit dem Betriebssystem verzahnt ist.
Der einzige Ruf, der leiden wird, ist der des Internet Explorers. Im Grunde könnte man auch ein positives Fazit ziehen: Erneut wird Benutzern als auch den Browser-Entwicklern in Erinnerung gerufen, alle nötigen Vorkehrungen zu treffen, sich selbst bzw. die Anwender vor solchen Angriffen zu schützen.
In den vergangene Jahren hat FontShop International bereits Tausende von OpenType-FontFonts in Umlauf gebracht. Ist die Benutzung dieser Schriften gefährlich?
OpenType-Fonts – egal von welchem Schriftenhaus – stellen per se keine Gefahr dar. Natürlich verlassen auch unsere Produkte die Produktion in einem einwandfreien und sicheren Zustand. Alle OpenType-FontFonts sind digital signiert. Bei Manipulationen am Font wird die Signatur ungültig bzw. entfernt. Ein Browser prüft diese Signatur bei Webfonts allerdings (noch) nicht. Vielleicht müssen die Browserentwickler auf solche Mechanismen zukünftig mehr Rücksicht nehmen, als sie es heute tun. Für Dritte, die Font-Software unerlaubt für ihre Zwecke missbrauchen, kann also kein Hersteller eine Verantwortung übernehmen.
Was müssen die Benutzer von OpenType-Schriften beachten.
Es sind also nur EOT-Fonts betroffen. Normale OpenType-Fonts haben keine interne Kompression und werden auch nicht von der fehlerhaften Programmbibliothek (»t2embed.dll«) verarbeitet. Beachten müssen die Benutzer allenfalls die Lizenzbestimmungen und die Wahl des für den konkreten Fall geeigneten Formats. In unserem Fall sind die OT-Fonts für den meist kreativen Druckvorstufen-Bereich und die Office-Fonts für den Einsatz mit Programmen wie z. B. Microsoft Word, Excel und Powerpoint oder OpenOffice optimiert … und sicher.
Wie gefährlich ist es für Internet-Surfer Webseiten zu besuchen, die eingebettete OpenType-Schriften einsetzen?
Genauso gefährlich wie bei Websites, die auf lokale Systemfonts zurückgreifen. Wenn von einer Website Gefahr ausgeht, dann sind übertragene Fonts genauso mögliche Träger von schädlichem Code wie alle anderen übertragenen Daten auch. So oder so, Benutzer von Microsofts Internet Explorer sowie Benutzer nicht regelmäßig aktualisierter Browser sind auf jeden Fall deutlich häufiger betroffen als diejenigen, die a) mit Alternativbrowsern und b) mit Browsern auf dem neuesten technischen Stand unterwegs sind, zum Beispiel Firefox 3.5 oder Safari 4.
Glaubst Du, dass ein Webdesigner gut beraten ist, seinem Auftraggeber eine eingebettete OpenType-Schrift für die Gestaltung seiner Webseite zu empfehlen?
Absolut. Das Problem ist hier bisher ja eher ein anderes, nämlich die technische Beschränkung durch die Browser. Der Internet Explorer erlaubt bisher als einziger Browser ein Format, welches prinzipiell jede nicht auf dem Zielrechner installierte Schrift verfügbar macht, nämlich das bereits erwähnten EOT-Format. Ein weiteres Format schickt sich allerdings gerade an EOT langfristig zu verdrängen. Mozillas Firefox wird mit der in den nächsten Tagen zu erwartenden Version 3.6 der erste Browser sein, der das sogenannte WOFF (Web Open Font Format) unterstützt. Es ist damit zu rechnen, dass die Schrifthersteller bald reagieren und sowohl entsprechende Fonts also auch entsprechende Lizenzen anbieten werden. Dann heißt es für viele Webgestalter »Goodbye, Arial.«
Vielen Dank für das Gespräch, Ivo.
14 Kommentare
Kommentarfunktion ist deaktiviert.
<em>kursiv</em> <strong>fett</strong> <blockquote>Zitat</blockquote>
<a href="http://www…">Link</a> <img src="http://bildadresse.jpg">
Philipp Schilling
Warum überrascht mich das jetzt überhaupt nicht, dass ausgerechnet Microsoft-Produkte mal wieder eine große Sicherheitslücke aufweisen? Schade nur, dass nun ausgerechnet so ein elegantes Format wie OT dafür missbraucht wurde.
Sebastian Nagel
Geht es nicht eigentlich um das: Ich als böser Angreifer erstelle mir einen Opentype-Font, schleuse den Schadcode ein, platziere diesen Font auf einer Webseite, und bringe dann Leute dazu, diese zu besuchen. Der anfällige Browser verarbeitet meine Datei und lässt dabei den Schadcode ins System.
Sprich: Das Fontformat an sich ist „sicher“ (wie auch gefährlich, sind ja nur passive Daten), die Interpreter sind hingegen potentiell anfällig.
Für mich kommt es im Interview ein wenig so rüber, als könnten irgendwie „normale“ Fonts von ehrbaren Foundries infiziert werden (was dann aber natürlich entkräftet wird – allerdings schon in „Verteidungshaltung“).
Der Fall würde eigentlich nur auftreten, wenn jemand die tolle Schrift XY von Foundry Z nehmen, sie mit Schadcode versehen, und dann in einer Tauschbörse verteilen, in der Hoffnung, dass die Sharer den Font dann einsetzen und sich der Schadcode dadurch verbreitet.
Wer korrekt Schriften einkauft und diese dann einsetzt, gefährdet hingegen weder sich noch seine Website-Besucher.
Allerdings gefährde ich mich tatsächlich, wenn ich mir ohne Bestätigung Daten aus dem Internet lade, und diese von meinem Rechner verarbeiten lasse (bei Fonts naturgemäß der Fall). Da schützt mich im Grunde auch kein Alternativbrowser, der ist höchstens sicherer, aber nicht sicher. Ob wir mit „Don’t download webfonts“-Optionen in Browsern rechnen müssen?
Jens Kutílek
Wer korrekt Schriften einkauft und diese dann einsetzt, gefährdet hingegen weder sich noch seine Website-Besucher.
Richtig!
Ob wir mit “Don’t download webfonts”-Optionen in Browsern rechnen müssen?
Solche Optionen gibt es bereits. Sinnvoller als einfach abzuschalten wäre aber die Überprüfung von »Fremddaten« vor der Verarbeitung durch das Betriebssystem. Das gehört eigentlich zum kleinen Einmaleins des Programmierens, aber weil Webfonts lange Zeit kein Thema waren, haben sich in den schon recht alten Codeteilen anscheinend einige Lücken lange unbemerkt gehalten.
Erik van Blokland
Pardon my English. I think the headllne „OpenType fonts“ might perhaps be more to the point when it says „EOT fonts“. Some reports point out the vulnerability lies in the MTX compression, very specific to EOT – it is not part of OpenType, or even „webfonts“.
Maik
Bitte nicht lügen. Diverse Browser unterstützen passende Formate (TTF/OTF), die das technisch problemlos erlauben, und das weißt du auch.
„Bei allen anderen von derzeitigen Browsern unterstützten Formaten weigern wir uns, Schriften dafür freizugeben, und das nicht aus technischen Gründen“ ist eine ganz andere Aussage.
Frechheit, das auf die Browser abschieben zu wollen.
Jürgen Siebert
You are right, Erik. I will add that Detail to the headline. Many thanks. J
Ivo
Du meinst natürlich vor allem Raw Fonts mittels der @font-face-Regel. Klar weiß ich das. Das funktioniert in vielen Browsern, wird aber nicht von einer annähernd entscheidenden Masse an Schriftherstellern unterstützt und wird es auch zukünftig nicht. Bei EOT, das bisher nur im IE funktioniert, war das anders. Da haben z.B. schon Ascender und Monotype/Linotype, die zu den wichtigsten Foundries zählen, entsprechende Lizenzen angeboten. Um die Essenz des Ganzen aber nicht noch komplizierter zu machen als es ohnehin schon ist, habe ich mich auf die Mechanismen beschränkt, die aktuell und zukünftig noch eine entscheidende Rolle für professionelle Schriften spielen.
Zum einen weigern sich die Hersteller tatsächlich aus den gegebenen technischen Gründen, dieses Format zu unterstützen und zum anderen ist es eben doch ein Problem der Browser. Ich kann doch nicht ein Format bereitstellen, was die Belange der Hersteller der Schriften nicht im Ansatz berücksichtigt und von ihnen erwarten, dass sie das so hinnehmen und gefälligst ihre Lebensgrundlage dafür zur Verfügung zu stellen haben. Aber verzeih mir wenn ich darum bitte, diese leidige Diskussion nicht mehr weiter zu führen. Damit haben wir alle viel zu viel Zeit verplempert. Wir sind in einem angenehmen Kontakt mit Unternehmen wie z.B. Microsoft und Mozilla, die das längst verstanden haben und sind gemeinsam auf einem sehr guten Weg, bald einen akzeptablen Kompromiss für alle Beteiligten anzubieten. Dann sind die bisherigen Alternativen wie Cufón, Raw Fonts, sIFR usw. schneller Geschichte als sich die meisten Webdesigner überhaupt damit beschäftigen konnten.
Marius
@Ivo:
Deine „Argumentation“ läßt sich schön mit einem echten Klassiker kontrastieren: http://diveintomark.org/archives/2009/04/21/fuck-the-foundries
Ivo
Leider bleibst du uns ein Beispiel besserer Argumentation noch schuldig. Natürlich kenne ich den von dir so geschätzten Klassiker. Die meisten Hersteller von Schriften verstehen die Problematik und empfinden sie ähnlich. Schließlich möchten sie nichts mehr, als ihre Schriften auch für das Medium unserer Zeit zur Verfügung zu stellen. Unglaublich eigentlich, dass wir Websites heute immer noch mit Systemschriften gestalten müssen. Die wirklich Leidtragenden, die zu Recht Frust schieben, sind die Webdesigner. Ich habe da vollstes Verständnis, ich habe diesen Frust selbst als Mediengestalter bei der Gestaltung von Websites erlebt und möchte auch aus dieser Erfahrung heraus alles mir Mögliche tun, diesen Zustand zu beenden. Aber das Ganze funktioniert eben nicht so, wie viele sich das vorstellen.
Wir gehören zu den größten Schriftherstellern der Welt. Neben unseren vielen Designern, die wir vertreten, stecken hinter FontFont tatsächlich nur knapp 20 Leute! Entsprechend kann man sich dann auch ausrechnen, wie übersichtlich eigentlich der Umsatz mit Fonts ist und wir nicht die Raubritter der Kreativszene sind, als die man uns gerne hinstellt. Wir haben keine goldene Schreibtische, aber einen der schönsten Jobs auf der Welt. Der Grund, warum wir uns vor den zuvor genannten Technologien drücken ist: wir wollen diese Jobs behalten.
Wir stecken aber nicht den Kopf in den Sand und warten, dass irgendwer da draußen gefälligst eine Lösung für uns entwickelt. Erik van Blokland zum Beispiel (Mitglied unseres TypeBoards) war selbst einer der drei Entwickler des angesprochenen WOFF. Wir haben als erste große Foundry im letzten Jahr Techniken wie sIFR und Flash erlaubt, haben mit der gar nicht so recht ins Bild passenden Entscheidung mit Typekit zusammenzuarbeiten ein deutliches Signal gesetzt, dass wir unsere Fonts den Webdesigern zur Verfügung stellen WOLLEN und unsere Freunde von FontShop haben mit der Axel sogar aus eben dieser Intention heraus eine Schrift veröffentlicht, die sogar »Raw« genutzt werden kann um nicht zuletzt auch entsprechende Erfahrungswerte daraus zu ziehen. Ich habe persönlich mit verschiedenen Browserherstellern gesprochen, welche mir versichert haben, unsere Bedenken ernst zu nehmen und Mozilla wird ja daher auch in Kürze WOFF-Unterstützung anbieten und selbst Microsoft hat uns gegenüber versichert, WOFF zu implementieren, allerdings den Ball wieder zu uns zurückgespielt weil sie zuerst entsprechende Lizenzen von uns fordern. Wir werden dieser Forderung noch in diesem Jahr nachkommen! Ich habe auch mit Entwicklern anderer Technologien gesprochen, zum Beispiel den Cufón-Leuten. Auch sie haben unsere Argumentation nachvollziehen können und respektiert und wir haben gemeinsam überlegt, wie wir Cufón dahin bringen können, dass es eben sicherer wird, so wie es z.B. die Typekit-Leute auch mit der Raw-Fonts-Technologie geschafft hat.
derrasterpunkt
Ich hätte mir ein wenig mehr Professionalität bei der Auswahl der Fragen gewünscht. Das war ja pure Angstmache – à la Interview mit einem Anti-Virenhersteller. Die Prophezeien ja auch immer wieder gerne mal die Apokalypse der Macintosh-Platform. Nicht das da nichts dran wäre, irgendwann(!) giebt es auch mal Schadsoftware [in the wild] für Mac OS aber dieses Gelaber ist wahrlich pures FUD!
Herr Gabrowitsch hat vorzüglich geantwortet, auf einen Haufen unnötiger Fragen. Es steht doch schon im dritten Satz das EOT-Schriften das Übel sind und nicht OpenType im Allgemeinen …
Desweiteren stehen ja nicht Designer in der Kritik die sich solche Schriften lizensiert haben sondern Microsoft die diese Türe offen stehen haben lassen.
Die Lücke wird geschlossen werden, an den EOTs muss doch nichts verändert werden, auch besteht kein erhöhtes Risiko für Leute die auf Firmen-Websites surfen, die diese Schriften gewissenhaft (ohne Schadcode) einsetzen.
Wie auch immer … das musste ich loswerden …
Hendrik Runte
Ist also die Aussage, Schriften in Browsern »eingebettet« ausschließlich mit MSIE verwenden zu können, dadurch richtiger, dass die anderen Umsetzungen bei Safari, Firefox, Chrome und anderen Gecko- oder Webkit-Derivaten von den Schriftenherstellern nicht unterstützt werden? Nein, denn die Formulierung vermittelt keinen Zusammenhang zu Verbreitung oder Unterstützung durch Schriftenhersteller: »Der Internet Explorer erlaubt bisher als einziger Browser ein Format, welches prinzipiell jede nicht auf dem Zielrechner installierte Schrift verfügbar macht, …«.
Richtig hingegen ist: Der Internet Explorer war der erste Browser, der eine solche Technik unterstützte. Da die Lizenzfragen aber bis heute nicht ausreichend geklärt sind, wurde EOT so gut wie nie eingesetzt, sondern mit zum Teil untauglichen zum Teil interessanten Krücken ersetzt (Flash-sFIR, CSS-Sprites).
Aber, erinnern wir uns: Das plötzliche Interesse an der Verwendung von »eingebetteten« Schriften in WebSites rührt ausschließlich an der Implementierung der CSS3-Funktion @font-face in WebKit (Safari, Chrome, uvm), die erstmals ermöglichte, OpenType-Fonts unverändert zu verwenden. Das ist einer der wichtigsten Punkte, der Typografie-Interessierte überhaupt dem Thema näher brachte. Und nicht die EOT-Implementierung im Microsoft Internet Explorer (, die ja offensichtlich Gefahren birgt).
till1
@jürgen: ich möchte ungern rumnörgeln, weil ich sonst nie etwas zu beanstanden habe, aber die von rasterpunkt angesprochene PR-typische Pseudo-Interviewform klingt doch ziemlich aufgesetzt. Ein direktes Statement von Ivo hätte es doch auch getan.
Jürgen Siebert
Es waren schlicht Fragen, die sich mir am Freitagnachmittag stellten. Und meine 20jährige FontShop-Erfahrung sagt mir, dass unsere Kunden sich ähnliche Fragen stellen werden.
Geht einfach mal davon aus, dass nicht jeder Mensch technisch so bewandert ist wie ihr. Als ich bei heise und Spiegel-Online gelesen habe, dass Fonts dazu benutzt werden können, Schadsoftware zu verteilen und zu installieren … da haben bei mir schlicht die Alarmglocken geläutet. Ich mache mir jedenfalls Sorgen um unser Business. Schön zu hören, dass Ihr das anders seht.
till1
nein, darum geht es nicht. aber schon gut, ich bin nur etwas übersensibel. sorry.