Meta发出警告，FreeType开源字体渲染库存在一个高危安全漏洞（CVE-2025-27363），该漏洞可能已被用于实际攻击。此漏洞存在于FreeType 2.13.0及以下版本中，是一个越界写入漏洞，攻击者可能利用它实现远程代码执行。尽管FreeType开发者表示该漏洞已在两年前修复，但许多Linux发行版仍在使用过时版本，面临风险。建议用户尽快更新至FreeType最新版本（2.13.3）以获得最佳保护。

🚨FreeType字体库存在高危漏洞CVE-2025-27363，CVSS评分高达8.1，Meta警告称可能已被实际利用，威胁严重。

🔤该漏洞是由于解析TrueType GX和可变字体文件时，缓冲区分配过小导致的越界写入问题，存在于FreeType 2.13.0及以下版本中。

🛡️尽管FreeType开发者已在2.13.0以上版本修复此漏洞，但包括AlmaLinux、Debian稳定版、Ubuntu 22.04等多个Linux发行版仍在使用的旧版本，用户应尽快升级到2.13.3以规避风险。

HackerNews 编译，转载请注明出处：

Meta警告称，FreeType开源字体渲染库存在安全漏洞（CVE-2025-27363），可能已被用于实际攻击。该漏洞被评定为高危，CVSS评分为8.1，属于越界写入漏洞，可能被利用来实现远程代码执行。

漏洞存在于FreeType 2.13.0及以下版本中。当解析与TrueType GX和可变字体文件相关的字体子字形结构时，漏洞代码会将一个有符号短整型值分配给无符号长整型，并添加一个静态值，导致缓冲区分配过小。随后，代码会在分配的缓冲区边界外写入多达6个有符号长整型值。

FreeType开发者Werner Lemberg表示，该漏洞已在两年前修复，2.13.0以上版本不再受影响。然而，许多Linux发行版仍在使用过时版本的FreeType库，存在被利用的风险。这些发行版包括：

AlmaLinuxAlpine LinuxAmazon Linux 2Debian稳定版RHEL/CentOS Stream 8和9GNU GuixMageiaOpenMandrivaopenSUSE LeapSlackwareUbuntu 22.04

鉴于该漏洞已被实际利用的风险，用户被建议尽快更新至FreeType的最新版本（2.13.3），以获得最佳保护。

 

---

消息来源：The Hacker News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文