IT之家3月14日消息,Facebook旗下的安全研究实验室日前透露,FreeType在2.13.0以前的版本中存在安全漏洞,该漏洞代号为CVE-2025-27363,漏洞评分为8.1/10分,评级为高风险。
IT之家注:FreeType是一款开源的字体渲染库,该渲染库可以将字符栅格化并映射成位图。Android、macOS等操作系统及各种游戏引擎都有应用该字体渲染库。
该漏洞的详情如下:
FreeType2.13.0及以下版本在解析TrueTypeGX和可变字体文件的字体子字形结构时存在越界写入漏洞。问题代码将有符号短整型数值赋给无符号长整型变量,随后叠加静态值导致数值回绕,进而分配过小的堆缓冲区。该漏洞允许在缓冲区外写入多达6个有符号长整型数值,可能引发任意代码执行。
虽然该漏洞已于2023年2月9日在FreeType2.13.0中被修复,但鉴于目前仍有很多用户在使用旧版本的操作系统或软件,同时可能有黑客已经在利用该漏洞展开攻击,Facebook建议所有用户将他们的系统或将FreeType单独更新到最新版本以避免可能的安全风险。
