Foutieve Windows-patch levert problemen op met OpenType-fonts

Een recente Windows-update blijkt problemen op te leveren bij het renderen van bepaalde OpenType-lettertypes. Hierdoor kunnen teksten in met name grafische software onleesbaar worden. Microsoft zegt het probleem te bestuderen.

Vorige week bracht Microsoft op patch tuesday via Windows Update een aantal updates uit, waaronder een aantal updates die beveiligingsgaten moesten dichten. Een van de patches, update KB2753842, was gericht op het verhelpen van een kwetsbaarheid in libraries die OpenType-lettertypen mogelijk maken. KB2753842 moet het onmogelijk maken om remote code execution toe te passen door gemanipuleerde OpenType-fontbestanden te gebruiken.

In de praktijk bleek de patch problemen op te leveren. In diverse grafische pakketten werden teksten die waren opgemaakt op basis van OpenType-lettertypen deels of geheel onleesbaar. Volgens een aantal grafici zou de patch er voor zorgen dat alle PostScript Type 1-fonts en OpenType-lettertypen die Type 1-data bevatten niet langer worden getoond in pakketten als CorelDraw and QuarkXpress. Ook in Microsoft Powerpoint zou het probleem optreden.

Momenteel kan alleen het de-installeren van de KB2753842-update het probleem verhelpen. Een nadeel is dat dit een Windows-systeem weer kwetsbaar maakt. Microsoft zegt inmiddels de zaak te onderzoeken om mogelijk daarna met een correct functionerende patch te komen. De OpenType-fontproblemen zijn inmiddels wel te vinden onder het kopje 'known issues'.

Door Dimitri Reijerman

Redacteur

Feedback • 17-12-2012 13:41 33

17-12-2012 • 13:41

33

Lees meer

Microsoft stopt met details geven over gedichte lekken in Windows
Microsoft stopt met details geven over gedichte lekken in Windows Nieuws van 9 januari 2015
Google-engineers achter ruim helft bugmeldingen bij laatste patchronde Microsoft
Google-engineers achter ruim helft bugmeldingen bij laatste patchronde Microsoft Nieuws van 13 februari 2013
Microsoft dicht zero day-xml-lek
Microsoft dicht zero day-xml-lek Nieuws van 11 juli 2012
'Flame-trojan wist sporen van zichzelf uit na commando'
'Flame-trojan wist sporen van zichzelf uit na commando' Nieuws van 11 juni 2012
Meer producten en artikelen
Netwerk en systeembeheer Microsoft Windows

Reacties (33)

-Moderatie-faq
33
33
17
2
0
1
Wijzig sortering
SirBlade 17 december 2012 14:07
Gaat het bij alle grafische applicaties mis met deze fonts, of alleen bij sommige? Indien het bij sommige wel werkt en bij andere niet lijkt het mij een bug die de makers van die applicaties moeten oplossen.
baldyman @SirBlade17 december 2012 14:52
Simpel uitgelegd: Via de API wordt normaal gesproken een lettertype opgevraagd en deze wordt in het geheugen uitgepakt voor weergave op het scherm. Door de beveiligingsupdate wordt het opvragen van de benodigde geheugenbuffergrootte voor het uitpakken van het lettertype (en omzetten naar curves) geblokkeerd waardoor deze niet weergegeven kan worden.

Het gaat dus mis bij alle applicaties die via de doorvoor beschikbare API middels de functie GetGlyphOutline() de fonts aanroepen. Hierbij zitten dus ook applicaties van Microsoft zelf.
Adobe gebruikt bijvoorbeeld bij Illustrator deze methode niet. Vandaar dat het probleem zich daar niet voordoet. Bij Flash echter weer wel.

In ieder geval doet het probleem zich voor bij:

CorelDraw (alle versies)
Quark Xpress (alle versies)
Adobe Flash
MS PowerPoint
MS Excel
Flexi Sign
R4gnax @SirBlade17 december 2012 14:11
Het is een bug in Microsoft's font stack. En elke applicatie die via GDI of DirectWrite de standaard font stack in Windows aanspreekt (wat zo ongeveer elke Windows applicatie ooit geschreven zal zijn) is in principe onderhevig aan dit probleem.

Je zult er echter alleen tegen aan lopen wanneer je met fonts werkt die een aantal specifieke features van OpenType gebruikt. En voornamelijk grafici zijn daarbij het haasje.
Blazing-Studios 17 december 2012 13:50
jammer dat er niet vermeld wordt om welke grafische software het gaat (cinema4D/3dsmax/maya/blender/photoshop/aftereffects/enz)

EDIT: LOL zie net dat ik over de regel met "als CorelDraw and QuarkXpress. Ook in Microsoft Powerpoint zou het probleem optreden" heengelezen heb :P

[Reactie gewijzigd door Blazing-Studios op 30 juli 2024 19:17]

R4gnax @Blazing-Studios17 december 2012 14:01
jammer dat er niet vermeld wordt om welke grafische software het gaat (cinema4D/3dsmax/maya/blender/photoshop/aftereffects/enz)
Het gaat gewoon om software die de standaard Windows GDI of DirectWrite APIs gebruikt en daardoor afhankelijk is van de OpenType Compact Font Format (CFF) driver voor bepaalde OpenType fonts. Dat is dus zo ongeveer alle Windows software, aangezien praktisch niemand zijn eigen font processing en rendering stack schrijft.

Dit is eigenlijk best wel een groot probleem. Te meer omdat een aantal mensen, veelal grafici, de bestaande patch niet kunnen installeren zonder hun werk om zeep te helpen. Hopelijk komt Microsoft heel snel met een oplossing.

[Reactie gewijzigd door R4gnax op 30 juli 2024 19:17]

Aeternum @R4gnax17 december 2012 14:23
Als ik je verhaal goed begrijp, zou flash embedded font geen probleem moeten zijn omdat die een eigen methodiek toepast. (Doe zelf iets met web2print dingen, vandaar de opmerking)
hfos @Blazing-Studios17 december 2012 13:58
In elk geval Cinema 4D; vanochtend eerst Windows bijgewerkt en daarna in C4D aan de slag gegaan waar OTF lettertypes het dus niet meer doen. Daarna een half uur aan het zoeken geweest waarom dat zo was, ik ging uit van een fout in C4D, niet in Windows...
Alphyraz 17 december 2012 13:44
Dat is dus de reden waarom tekst de afgelopen week in Firefox opeens onleesbaar werd soms.
Als je de tekst dan selecteert, dan is het daarna weer normaal.

Hopelijk wordt het snel opgelost, want de update deïnstalleren wil je denk ik ook niet.
Mitsuko @Alphyraz17 december 2012 18:00
Er zijn ook problemen met een hotfix die bij de IE10 preview zat, althans op sommige grafische kaarten. Bijvoorbeeld mijn ATI Mobility Radeon HD 4650 heeft daar grote problemen mee. Relevante bug: bug 812695 - hoewel daar verder geen antwoorden te vinden zijn (hotfix ongedaan maken werkt wel).
Mopperman @Alphyraz17 december 2012 13:48
Sinds wanneer is firefox een "Grafisch" pakket? Volgens mij gebruiken de meeste website ook TrueType lettertypes en geen OpenType / Postscript, waar dit probleem bij voorkomt.

[Reactie gewijzigd door Mopperman op 30 juli 2024 19:17]

Verwijderd @Mopperman17 december 2012 14:05
Sommige sites tonen meer dan alleen TTF fonts. OTF dus.
Verwijderd @Mopperman17 december 2012 17:29
Waarom zou enkel een grafisch pakket last hebben van dit probleem? Grafische pakketten zijn de grootgebruikers van OTF/PS fonts, maar zeker niet de enigen.
Seal64 @Mopperman17 december 2012 19:26
Sinds de meeste browsers, Firefox incluis, rendering uitbesteden aan de GPU?
Alphyraz @Mopperman17 december 2012 13:52
Hierdoor kunnen teksten in met name grafische software onleesbaar worden.
Beter lezen voor je iets zegt.
rootpowered @Alphyraz17 december 2012 14:03
Het zelfde hier :(
baldyman 17 december 2012 14:03
Vervelend genoeg worden beveiligingsupdates bij de meeste mensen automatisch geïnstalleerd.
Heel wat mensen (veelal grafici idd) zijn getroffen door dit probleem. Impact is behoorlijk groot. Uren werk zijn hierdoor al verloren gegaan.

Overigens heb ik dit probleem vorige week meteen aan de redactie doorgegeven. Naar mijn idee was het belangrijk om zo snel mogelijk iedereen op de hoogte te brengen. Blijkbaar dacht de redactie daar anders over. Jammer. Een volgende keer zet ik het ook wel in het forum.
Phaerion 17 december 2012 14:10
Ik had vannacht in Photoshop heel even een type tool die het niet deed. Ik had wel een type kader maar zag de tekst niet verschijnen wanneer ik er in typte. Maar toen ik een hoop Firefox vensters sloot en wat programma's, probeerde ik het na een uurtje nog eens en toen deed hij het weer.


edit:
Het zou ook wel fijn zijn als er een patch uit kwam tegen mijn typefouten. :P

[Reactie gewijzigd door Phaerion op 30 juli 2024 19:17]

Tweaking Art 17 december 2012 14:41
Ik heb deze update gelukkig nog niet geinstalleerd, ik update niet meteen als de update uitkomt maar meestal eens per maand run ik de update check.

KB2753842 staat gelukkig niet per default aan als update die meteen geinstalleerd wordt als je automatische updates aan hebt staan, dat is mooi voor nu, zal het nieuws rondom deze update volgen. :)
Pixeltje 17 december 2012 15:07
Apart, zeker als het ook in Powerpoint voorkomt. Ik kan me voorstellen dat Microsoft niet alle grafische software kan testen als ze een patch vrijgeven maar hun eigen presentatieprogramma zou toch in de standaard test-cyclus moeten zitten..?
wilcoz 17 december 2012 13:46
"foutje moet kunnen, baas".
daarom spaar ik mijn updates minstens twee à drie weken op om ze vervolgens in één keer na te kijken en al-dan-niet te installeren. twee à drie weken kwetsbaar voor fouten die pas net gepatcht zijn neem ik voor lief.
robvanwijk
@wilcoz17 december 2012 13:52
Twee a drie weken is tijd zat om je bij een botnet in te lijven, zeker met security patches weet ik niet of jouw aanpak wel zo verstandig is (met niet-securiy updates kan ik het me wel voorstellen).
wilcoz @robvanwijk17 december 2012 13:57
ik heb een security pakket met firewall, real-time scanner en gewone anti-virus. die hou ik natuurlijk wel up to date. en met de oogjes open houden op het interweb ontwijk je ook al een aardig deel. en de overige risico's neem ik met alle plezier.
Sissors @wilcoz17 december 2012 14:10
Waarom vertrouw je dan wel direct je AV updates, en niet die van windows update? Het gebeurd toch regelmatig dat een AV update resulteerd in false positives, waarbij soms ook de complete windows installatie kapot gemaakt wordt.
wilcoz @Sissors17 december 2012 14:15
hoewel mijn virusscanner corrupt kan raken, is dat het enige en gemakkelijk verhelpbare risico. mijn virusscanner geeft alle 'positives' false of niet eerst aan mij weer waarna ik beslis of het ook daadwerkelijk gequarantaineerd wordt.

@xzaz in de afgelopen tien jaar heeft windows mij meerdere keren roet in het eten gestrooid met updates, de virusscanner één keer, en dat was gemakkelijk te herstellen.

ik geef verder geruim toe dat mijn systeem niet perfect is. maar het sluit windows-update problemen grotendeels uit, en valt mij niet elke keer lastig met meldingen.
V_J @wilcoz17 december 2012 15:48
Hmm.. toch niet altijd zo makkelijk verhelpbaar, als bepaalde windows systeem bestanden in quarantaine geplaatst worden...

Nu, ik run ook mijn updates niet op dinsdag, maar wacht een paar dagen... :)
xzaz @wilcoz17 december 2012 14:08
Ja want virusscanners en firewall updates geven nooit problemen ;)
pizzafried @wilcoz17 december 2012 14:14
ligt er aan wat je definitie is van "je oogjes open houden op het interweb" :+
Verwijderd 17 december 2012 13:52
Ik had ineens koeieletters in CS6 inderdaad, terwijl die op 10pt stond .. tijd om maar eens even die patch er uit te gooien dan.

-edit
hmm toch niet, die patch heb ik niet. dan toch maar even die psd opnieuw doen vrees ik.

[Reactie gewijzigd door Verwijderd op 30 juli 2024 19:17]

Whatson @Verwijderd17 december 2012 14:01
Misschien heb je ver ingezoomd?
donthuis 17 december 2012 14:56
In Firefox zat wel degelijk ook een probleem. Ik kreeg Chinese tekens te zien, die bij pagina verversen gelukkig weer verdwenen. Ooit heb ik standaard Chinees mee geïnstalleerd, omdat sommige fabrikanten -sites in hardware documentatie enkele van die tekens laten zitten.

Bij fonts weet je nooit hoe dat tussen Windows (XP in mijn geval) en applicaties interfereert!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq