HackerNews 编译,转载请注明出处:
Facebook 警告称,FreeType 2.13 及以下版本中的一个漏洞可导致任意代码执行,且该漏洞已被用于攻击。
FreeType 是一个广泛使用的开源字体渲染库,用于显示文本和程序化地将文本添加到图像中。它支持多种字体格式,如 TrueType (TTF)、OpenType (OTF) 等。
该库安装在数百万个系统和服务中,包括 Linux、Android、游戏引擎、GUI 框架和在线平台。
此漏洞编号为 CVE-2025-27363,CVSS v3 评分为 8.1(高危),已在 2023 年 2 月 9 日的 FreeType 2.13.0 版本中修复。
Facebook 昨日披露了这一漏洞,警告称该漏洞在所有 2.13 及以下版本的 FreeType 中均可被利用,并且已有报告显示该漏洞在攻击中被积极利用。
“在 FreeType 2.13.0 及以下版本中,当尝试解析与 TrueType GX 和可变字体文件相关的字体子图结构时,存在越界写入问题,”公告中写道。
“漏洞代码将一个有符号短整型值赋给一个无符号长整型,然后添加一个静态值,导致其回绕并分配过小的堆缓冲区。”
“随后,代码会在这个缓冲区的边界外写入多达 6 个有符号长整型,这可能导致任意代码执行。”
尽管 Facebook 可能在某种程度上依赖 FreeType,但尚不清楚其安全团队观察到的攻击是否发生在其平台上,或者他们是在其他地方发现了这些攻击。
鉴于 FreeType 在多个平台上的广泛使用,软件开发者和项目管理员必须尽快升级到 FreeType 2.13.3(最新版本)。
尽管最新易受攻击的版本(2.13.0)已发布两年,但较旧的库版本可能在软件项目中长期存在,因此尽快解决该漏洞至关重要。
BleepingComputer 就此漏洞及其利用方式向 Meta 询问,收到了以下声明:
“当我们发现开源软件中的安全漏洞时,会进行报告,因为这有助于增强每个人在线安全,”Facebook 对 BleepingComputer 表示。“我们认为用户希望我们不断探索提高安全性的方法。我们将保持警惕,并致力于保护人们的私人通信。”
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
