Meta, Freetype açık kaynaklı yazı tipi oluşturma kütüphanesini etkileyen bir güvenlik açığının vahşi doğada kullanılmış olabileceği konusunda uyardı.
Güvenlik açığı CVE tanımlayıcısı atandı CVE-2025-27363ve yüksek ciddiyeti gösteren 8.1 CVSS skoru taşır. Bounds dışı bir yazma kusuru olarak tanımlanan, belirli yazı tipi dosyalarını ayrıştırırken uzaktan kod yürütme elde etmek için kullanılabilir.
Şirket, “Truetype GX ve değişken yazı tipi dosyalarıyla ilgili yazı tipi subglyph yapılarını ayrıştırmaya çalışırken Freetype sürümlerinde 2.13.0 ve altındaki bir yazma yazısı var.” Dedi.
“Savunmasız kod, imzasız bir uzun değere imzalı kısa bir değer atar ve daha sonra bir yığın arabelleğini sarmasına ve çok küçük bir tampon tahsis etmesine neden olan statik bir değer ekler. Daha sonra, bu tampona göre sınırlardan 6 adet imzalı uzun tamsayıyı yazar. Bu, keyfi kod yürütmesine neden olabilir.”
Şirket, eksikliğin nasıl kullanıldığı, arkasında olan ve saldırıların ölçeğine ilişkin herhangi bir ayrıntıyı paylaşmadı. Ancak, hatanın “vahşi doğada sömürülmüş olabileceğini” kabul etti.
Yorum için ulaşıldığında, Freetype geliştiricisi Werner Lemberg, Hacker News’e, neredeyse iki yıldır güvenlik açığı için bir düzeltmenin dahil edildiğini söyledi. Lemberg, “2.13.0’dan büyük Freetype sürümleri artık etkilenmiyor.” Dedi.
Açık Kaynak Güvenlik Posta Listesi OSS-Security’de yayınlanan ayrı bir mesajda, birkaç Linux dağıtımının kütüphanenin eski bir sürümünü çalıştırdığı ve böylece onları kusura duyarlı hale getirdiği ortaya çıktı. Bu dahil –
- Almarux
- Alpin Linux
- Amazon Linux 2
- Debian ahır / Devuan
- RHEL / Centos Stream / Alma Linux / vb. 8 ve 9
- GNU Alçı
- Mageia
- Açık sepet
- opensuse sıçraması
- Slackware ve
- Ubuntu 22.04
Aktif sömürü ışığında, kullanıcıların örneklerini optimum koruma için Freetype’in en son sürümüne (2.13.3) güncellemeleri önerilir.