Google、フォントラスタライザ向けセキュリティチェックツール「BrokenType」を公開

末岡洋子
シェア

 Googleのセキュリティ開発者が、フォントラスタライズソフトウェアの脆弱性をチェックするツール「BrokenType」をオープンソースとして公開した。社内で利用されており、フォント関連のセキュリティバグの発見につながっているという。

 BrokenTypeはGoogle Project Zeroのセキュリティエンジニアが開発したツール。アウトラインフォントをディスプレイなどに出力する際には解像度に合致したビットデータに変換するラスタイズ処理が必要だが、BrokenTypeはこのフォントラスタライズを行うソフトウェアを対象にメモリの破損につながるバグなどの問題がないかをテストできるファジングツールとなる。

 Google社内で使用されており、2015年から2017年の間にWindowsカーネルに存在していたフォントラスター化における脆弱性20件、ユーザーモードのMicrosoft Uniscribeライブラリにおける脆弱性19件を検出したという。なお、プロジェクトは個人的なものであり、Googleの公式プロジェクトではない。

 BrokenTypeは、ランダムだが有効なTrueTypeプログラムを生成できるPythonスクリプト、C++で作成されたバイナリフォントファイルミュテーター(ランダムなバイナリ修正をテーブルに挿入する)、Windowsでカスタムフォントを読み込みテストするフォントローダーの3つのコンポーネントで構成される。

 BrokenTypeはプロジェクトのWebサイトより入手できる。ライセンスはApache License 2。

BrokenType
https://github.com/google/BrokenType