🧵Thema: Können Fonts Schadcode enthalten?

Hallo Kolleginnen und Kollegen,

ich möchte eine ernst gemeinte, technische Frage stellen:

🔍 Können Fonts Schadcode enthalten? Und falls ja: Welche Schriftarten gelten als sicher?

Hintergrund: In Krisen- oder Kriegsgebieten wird häufig Bild- und Textmaterial ausgetauscht. Dabei stellt sich die Frage, ob Fonts selbst potenziell Angriffsvektoren oder Schadfunktionen enthalten können.

Ich bitte ausdrücklich um fundierte, fachliche Rückmeldungen – kein Halbwissen. Falls vorhanden, gerne auch weiterführende Quellen auf Englisch.

🧠 Relevante Quellen (englischsprachig):

ReasonLabs: “Can Fonts Have Viruses?” (Realistische Gefahren durch manipulierte Fonts wie ZeroFont oder Unitrix)

Security StackExchange: “How do I know if a font is malicious?” (Technische Einschätzung zur TrueType-VM, Remote Code Execution etc.)

Universität Hamburg: “Dangers and Prevalence of Unprotected Web Fonts” (PDF) (Studie über Webfonts als Fingerprinting- und Manipulationsvektor)

Ich freue mich auf eure Expertise! Viele Grüße Dean in Berlin (Deaneau)
p.s. Bleibt gesund und kreativ

vor 3 Stunden schrieb deaneau:

Können Fonts Schadcode enthalten?

Halbwissen* incoming:

Klar, in nicht geschützte Dateiformate kann man alles reintun. Aber ist das problematisch? Da kommen wir zu einer Henne-Ei-Problematik. Schriftdateien sind keine auführbaren Dateien wie Programme oder Stapelverarbeitungsdateien. Sie brauchen spezielle Programme, die sie aufrufen und dann noch andere, die sie interpretieren. Und diese Programme sollten eigentlich den Schadcode ignorieren.
Beispiel: Unicode of Death. Nicht die Glyphe oder gar nur der Codepunkt ist der Schadcode an sich, das Interpretieren des Codepunktes ist das Problem.

Als humoristische Entsprechung: https://xkcd.com/327/

vor 3 Stunden schrieb deaneau:

Welche Schriftarten gelten als sicher?

Die Schriftart ist irrelevant. Es geht um die Fontdatei selbst, die jedoch vom Design her nicht gegen Manipulationen geschützt sind, da bräuchte es ein neues Format. Und was ist »sicher«? Im digitalen Raum ist nur die Unsicherheit sicher, alles andere ist relativ.

Um es für die anderen mal etwas einfacher zu machen, hier sind Deine Quellen verlinkt:

vor 3 Stunden schrieb deaneau:

ReasonLabs: “Can Fonts Have Viruses?” (Realistische Gefahren durch manipulierte Fonts wie ZeroFont oder Unitrix)

https://reasonlabs.com/blog/3-reasons-why-the-fonts-you-use-affect-your-cybersecurity
 

vor 3 Stunden schrieb deaneau:

Security StackExchange: “How do I know if a font is malicious?” (Technische Einschätzung zur TrueType-VM, Remote Code Execution etc.)

https://security.stackexchange.com/questions/41652/how-do-i-know-if-a-font-is-malicious

 

vor 3 Stunden schrieb deaneau:

Universität Hamburg: “Dangers and Prevalence of Unprotected Web Fonts” (PDF) (Studie über Webfonts als Fingerprinting- und Manipulationsvektor)

https://svs.informatik.uni-hamburg.de/publications/2019/mueller-dangers-and-prevalence-webfonts.pdf

 

 

*) Zur Einschätzung des Halbwissens: Ich war zu der Zeit,  in der Menschen, die von Überwachung und Privatsphäre und Echolon sprachen, als querdenkende  schwurbelnde Aluhut-Träger bezeichnet wurden, ebenso an IT-Security interessiert wie heute an Typographie. Mit dem 11. September 2001 wurde mir endgültig klar, dass das Thema Privatsphäre erledigt und letztlich ein Kampf gegen Windmühlen ist. Das heißt, ich bin kein Experte und mein Halbwissen ist auch schon ziemlich alt.

Bearbeitet (29. Juni 202529. Jun von Phoibos)

Meine Gedanken zu Deinen Quellen:
https://reasonlabs.com/blog/3-reasons-why-the-fonts-you-use-affect-your-cybersecurity

FUD. Keine harten Aussagen, Inhalt lässt sich auf PEBKAC reduzieren.

vor 3 Stunden schrieb deaneau:

manipulierte Fonts wie ZeroFont oder Unitrix

Zerofont und Unitrix sind keine manipulierten Fonts. Es handelt sich um einen manipulierenden Gebrauch von Fonts und Schrift an sich.

https://security.stackexchange.com/questions/41652/how-do-i-know-if-a-font-is-malicious

Echte Probleme mit Fontdateien sind verlinkt, ebenso wie die Schwierigkeiten, diese auszunutzen. 
Sehr guter Link aus der Diskussion: https://googleprojectzero.blogspot.com/2015/07/one-font-vulnerability-to-rule-them-all.html  Das wirft einen interessanten Blick auf den Wechsel zu 64bit-Systemen und das Unsupporting von ATM und PS1-Fonts.
tldr: 64bit, moderne Technik und Updates bieten mehr Schutz.

https://svs.informatik.uni-hamburg.de/publications/2019/mueller-dangers-and-prevalence-webfonts.pdf

Interessant, doch sehe ich hier nicht das Problem in den Schriftdateien selbst.

vor 3 Stunden schrieb deaneau:

Dabei stellt sich die Frage, ob Fonts selbst potenziell Angriffsvektoren oder Schadfunktionen enthalten können.

Also ja, Schriftdateien sind potentiell Gefahren, sie können ein Angriffsvektor auf die Privatsphäre sein, fatale Fehler im System verursachen und sogar Informationen verändern. 
Können wir uns davor schützen? Innerhalb der üblichen Grenzen ja, doch es ist immer eine Frage von Kosten und Nutzen: Gegen staatliche Akteure? Für den einzelnen Nutzer wohl unmöglich. Gegen Eindringlinge in die Privatsphäre wie Google? Ja, schwer und ob sinnvoll ist Gegenstand philosophischer Fragestellungen (s. Postskriptum über die Kontrollgesellschaften (PDF), tldr: Das Nicht-Auffallen ist auffällig). Im Rahmen von Spearphishing? Schwierig, setzt Disziplin und eine grundlegende Technik-Literalität voraus. Im Rahmen von Phishing? PEBKAC.

Muss man sich bedroht fühlen? Auch hier gibt es eine humorvolle Antwort zu:
https://xkcd.com/538/

Und gegen sowas hilft einfach nur bewusstes Handeln:
MICROSOFT (4D 49 43 52 4F 53 4F 46 54)
МΙСRОSΟFТ (D0 9C CE 99 D0 A1 52 D0 9E 53 CE 9F 46 D0 A2)
Aber dieses Beispiel ist kein Problem des Fonts bzw. der Fontdatei, bestenfalls ein Problem der Schriftwahl.

Can Fonts Have Viruses? Cybersecurity: Fonts Dangers To Avoid

https://reasonlabs.com/blog/3-reasons-why-the-fonts-you-use-affect-your-cybersecurity

 

Da fällt mir der Tipp mit dem Download als TTF und/oder OTF negativ auf. Ich will *fussaufstampf* ein ZIP-Archiv mit Dokumentation inkl. Lizenzbestimmungen. Das ist allerdings ein vollkommen anderer Betrachtungswinkel.

 

Das Problem mit Postscript-Fonts die an den Interpreter unerwünschte Befehle geben ist mir theoretisch bekannt. Aber gab es da reale Fälle?

 

Das Fingerprinting kennt man von Palida Narrow … wann war das noch … etwa 2012 … oha … wir werden alt … Hinweis: Links sind uralt und ungetestet.

http://typophile.com/node/95457 -> Looks like Lucida Bright

http://www.livehacking.com/2012/08/14/why-does-gauss-install-palida-narrow-font/

However the new font can be used as a marker for the presence
of the malware and to this end the Cryptography Laboratory at
the Technical University of Budapest has created a web page to
test for Palida and hence Gauss.

http://gauss.crysys.hu/index.php
http://blog.getcocoon.com/tag/palida-narrow/

Zuerst war da Rätselraten ...
http://www.heise.de/security/meldung/Font-Installation-durch-Gauss-Trojaner-wirft-Fragen-auf-1665561.html?view=zoom;zoom=1

 

 

vor 17 Minuten schrieb Uwe Borchert:

Das Fingerprinting

Und ein Font-Verkäufer könnte durch das winzige Versetzen von einigen Vektorknoten eine UID schaffen. 

vor 7 Stunden schrieb deaneau:

Können Fonts Schadcode enthalten?

Jeder Code kann Schadcode enthalten, egal ob er als Font, Bild, App, Anwendungsdatei, Update oder als was auch sonst immer daherkommt.

vor 11 Stunden schrieb Phoibos:

Um es für die anderen mal etwas einfacher zu machen, hier sind Deine Quellen verlinkt

@Phoibos: Danke für die Links. 

@deaneau: Es ist müßig, wenn der Fragesteller allen Angesprochenen die Suche nach den Informationen überlässt, die ihm bereits vorliegen. 

Wie kann ein Font Schadcode enthalten?

Fehlende oder fehlerhafte Font-Parser in Betriebssystemen / Anwendungen:

Viele Fonts sind in komplexen Formaten wie TrueType (.ttf), OpenType (.otf) oder WOFF geschrieben. Diese enthalten intern „Programme“ in einer eigenen Sprache (z. B. TrueType Hinting). Sicherheitslücken in den Font-Parsing-Engines (z. B. in Windows GDI, FreeType unter Linux) können durch speziell präparierte Fonts ausgenutzt werden.

Fonts als Exploit-Vektor:

In der Vergangenheit gab es echte Sicherheitslücken, bei denen das Laden eines Fonts zur Codeausführung oder Eskalation von Rechten geführt hat. Beispiel: CVE-2015-2426 – eine kritische Sicherheitslücke in der Windows Adobe Type Manager Library, die durch manipulierte Fonts ausgenutzt wurde.

Fonts eingebettet in Office-Dokumente oder Webseiten:

Wenn ein Dokument oder eine Webseite eine schadhafte eingebettete Schriftart lädt, kann das die Schwachstelle im Font-Parser triggern.

 

Ein mögliches Angriffsszenario von vielen:

Ein Angreifer erstellt eine Webseite mit einem eingebetteten TrueType-Font, der gezielt eine Schwachstelle in der Font-Engine eines alten Browsers ausnutzt. Beim Aufruf der Seite wird der Font automatisch geladen – und führt durch einen Buffer Overflow beliebigen Code aus. Das Opfer muss nichts weiter tun als die Seite zu besuchen.

Am 29.6.2025 um 08:18 schrieb deaneau:

Welche Schriftarten gelten als sicher?

Die Sicherheit hängt nicht von der Schriftart ab.

 

Hallo,

Am 29.6.2025 um 14:18 schrieb Phoibos:

Und ein Font-Verkäufer könnte durch das winzige Versetzen von einigen Vektorknoten eine UID schaffen. 

Das würde ich aber nicht als Schadcode im engeren Sinn sehen. Allerdings ist das „Aushorchen“ der Nutzer auch illegal.

 

MfG

Am 29.6.2025 um 11:17 schrieb Phoibos:

Halbwissen* incoming:

...

...Die Schriftart ist irrelevant. Es geht um die Fontdatei selbst...
Jepp Fontdatei nicht Schrift, 
...Im digitalen Raum ist nur die Unsicherheit sicher, alles andere ist relativ....
Oh ja wie recht du hast.
Schön wie du auf Das Wort "Halbwissen" angesprungen bist. Nun gelegendlich vergisst man auch mal das was man vor Jaaahren gelernt hat oder es ist nicht mehr gültig. Thema Typografie würde ich bei mir sogar sagen wollen "Nur Grundkenntnisse". Gäbe es eine Schule für Typografen von der ersten Klasse an, wäre ich in der Grundschule. 🙂

Bearbeitet (19. September 202519. Sep von deaneau)

Am 29.6.2025 um 16:18 schrieb Diwarnai:

Jeder Code kann Schadcode enthalten, egal ob er als Font, Bild, App, Anwendungsdatei, Update oder als was auch sonst immer daherkommt.

Oh ja, wenn bei Updates plötzlich alles ganz anders ist oder gar eine Lifetime-Lizens nur für die aktuell erworbene Lizens gilt. Aber das ist ja nicht das Thema 🙂

Dein Thema ist »Können Fonts Schadcode enthalten?« und die Frage kann man nun mal nur mit »Jeder Code kann Schadcode enthalten« beantworten. Wieso bist du plötzlich der Meinung, dass das ja nicht das Thema wär?