Facebook, 2.13’e kadar olan tüm sürümlerde bir Freetype güvenlik açığının, kusurun saldırılarda kullanıldığını bildirerek keyfi kod yürütülmesine yol açabileceğini uyarıyor.
Freetype, metni görüntülemek için kullanılan ve programlara programlı olarak metin eklemek için kullanılan popüler bir açık kaynaklı yazı tipi oluşturma kütüphanesidir. Truetype (TTF), OpenType (OTF) ve diğerleri gibi çeşitli formatlarda yazı tiplerini yüklemek, rasterize etmek ve oluşturmak için işlevsellik sağlar.
Kütüphane, Linux, Android, oyun motorları, GUI çerçeveleri ve çevrimiçi platformlar gibi milyonlarca sistem ve hizmete kurulmuştur.
CVE-2025-27363 altında izlenen ve 8.1 (“Yüksek”) CVSS V3 şiddet skoru verilen güvenlik açığı, 9 Şubat 2023’te Freetype sürüm 2.13.0’da sabitlendi.
Facebook, kırılganlığın 2.13 sürümüne kadar olan tüm Freetype sürümlerinde güvenlik açığının kullanılabilir olduğunu ve saldırılarda aktif olarak kullanılmadığına dair raporlar olduğunu açıkladı.
Bulletin, “Truetype GX ve değişken yazı tipi dosyalarıyla ilgili yazı tipi subglyph yapılarını ayrıştırmaya çalışırken Freetype sürümlerinde 2.13.0 ve daha düşük bir sınırda yazma var.”
“Savunmasız kod, imzasız bir uzun değere imzalı bir kısa değer atar ve daha sonra etrafına sarılmasına ve bir yığın arabelleğinden çok küçük tahsis etmesine neden olan statik bir değer ekler.”
“Daha sonra kod, bu arabelleğe göre sınırlardan 6 adet imzalı uzun tamsayıyı yazıyor. Bu, keyfi kod yürütmesine neden olabilir.”
Facebook bazı kapasitede Freetype’a güvenebilir, ancak güvenlik ekibi tarafından görülen saldırıların platformunda mı yoksa başka bir yerde keşfedip keşfetmedikleri belirsizdir.
Freetype’ın birden fazla platformda yaygın kullanımı göz önüne alındığında, yazılım geliştiricileri ve proje yöneticileri en kısa sürede Freetype 2.13.3’e (en son sürüm) yükseltilmelidir.
Her ne kadar en son savunmasız sürüm (2.13.0) iki yıldır, eski kütüphane sürümleri yazılım projelerinde uzun süre devam edebilir, bu da kusurun mümkün olan en kısa sürede ele alınmasını önemli hale getirir.
BleepingComputer, Meta’ya kusur ve nasıl sömürüldüğünü sordu ve aşağıdaki ifadeyi gönderdi.
Facebook, BleepingComputer’a verdiği demeçte, “Onları bulduğumuzda açık kaynaklı yazılımlarda güvenlik hatalarını rapor ediyoruz çünkü herkes için çevrimiçi güvenliği güçlendiriyor.”
Diyerek şöyle devam etti: “Kullanıcıların güvenliği artırmanın yolları üzerinde çalışmamızı bekliyoruz. Uyanık kalıyoruz ve insanların özel iletişimlerini korumaya kararlıyız.”
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.