Meta ha apto que una vulnerabilidad de seguridad que afecta la biblioteca de renderizado de fuentes de código despejado de FreeType puede suceder sido explotada en la naturaleza.
A la vulnerabilidad se le ha asignado el identificador CVE CVE-2025-27363y lleva una puntuación CVSS de 8.1, lo que indica reincorporación dificultad. Descrito como una falta de escritura fuera de los límites, podría explotarse para conseguir la ejecución de código remoto al analizar ciertos archivos de fuentes.
«Existe una escritura fuera de los límites en las versiones de FreeType 2.13.0 y debajo cuando intenta analizar las estructuras de los subglyfos de fuentes relacionadas con los archivos TrueType GX y las fuentes variables», dijo la compañía en un aviso.
«El código indefenso asigna un valía corto firmado a un dadivoso sin firmar y luego agrega un valía arrobado, lo que hace que envuelva y asigne un búfer de montón demasiado pequeño. El código luego escribe hasta 6 enteros largos firmados de los límites en relación con este búfer. Esto puede resultar en una ejecución de código arbitraria».
La compañía no compartió ningún detalle sobre cómo se está explotando la deficiencia, quién está detrás de ella y la escalera de los ataques. Sin confiscación, reconoció que el error «puede suceder sido explotado en la naturaleza».
Cuando se le contactó para hacer comentarios, el desarrollador de FreeType, Werner Lemberg, dijo a The Hacker News que una posibilidad para la vulnerabilidad se ha incorporado durante casi dos primaveras. «Las versiones de Tipo de FreeTy más de 2.13.0 ya no se ven afectadas», dijo Lemberg.
En un mensaje separado publicado en Open Source Security Mailing List Oss-Security, ha nacido a la luz que varias distribuciones de Linux están ejecutando una interpretación obsoleta de la biblioteca, lo que las hace susceptibles a la falta. Esto incluye –
- Almarux
- Alpine Linux
- Amazon Linux 2
- Debian Stable / Devuan
- Rhel / Centos Stream / Alma Linux / etc. 8 y 9
- Yeso GNU
- Mageia
- Cesta abierta
- OpenSuse Leap
- Slackware, y
- Ubuntu 22.04
A la luz de la explotación activa, se recomienda a los usuarios que actualicen sus instancias a la última interpretación de Freetype (2.13.3) para una protección óptima.
