C
月内に
TrueTypeフォントのヒンティング機能に含まれる仮想マシン(VM)を利用して、任意のコードを実行させる手法について解説しています
📌 一言でいうと
TrueTypeフォントのヒンティング機能に含まれる仮想マシン(VM)を利用して、任意のコードを実行させる手法について解説しています。著者はこのVMを用いてゲームの『Doom』を動作させるデモンストレーションを行い、フォント解析エンジンの脆弱性が攻撃ベクトルになり得ることを示しました。過去にはDuquやOperation Triangulationなどの攻撃で同様の仕組みが悪用された事例が挙げられています。
🔍該当判定
- Windows OSを搭載したPCを社内で利用している
- Webブラウザ(Chrome, Edge等)で外部サイトを閲覧している
- 不特定多数から送られてくるPDFやWordなどのファイルを展開・閲覧している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
OSおよびブラウザを最新バージョンに更新し、信頼できないソースからのフォントファイルのインストールを避けてください。