Meta a alertat recent asupra unei vulnerabilități critice de securitate în biblioteca open-source FreeType, denumită CVE-2025-27363. Această vulnerabilitate, cu un scor CVSS de 8.1, se referă la un defect de tip out-of-bounds write, care ar putea fi exploatat pentru executarea de cod de la distanță atunci când sunt analizate anumite fișiere de fonturi. Deși Meta nu a oferit detalii specifice despre modul în care vulnerabilitatea este exploatată, a recunoscut că ar putea fi deja folosită activ în atacuri cibernetice.
TLDR
- Vulnerabilitate de tip out-of-bounds write în FreeType versiunea 2.13.0 și mai vechi.
- Aceasta poate duce la Remote Code Execution în cazul analizei anumitor fișiere de fonturi.
- Se recomandă actualizarea la versiunea 2.13.3 sau mai nouă pentru protecție optimă.
Vulnerabilitate în FreeType
Biblioteca de redare a fonturilor open-source, FreeType, se confruntă cu o vulnerabilitate critică ce poate fi exploatată în mediul real pentru a obține executarea codului de la distanță. Identificată ca CVE-2025-27363, această eroare de tip out-of-bounds write poate permite scrierea de date în afara unei zonei de memorie alocate, ceea ce ar putea duce la executarea de cod arbitrar.
Natura vulnerabilității și implicații
Vulnerabilitatea, identificată în versiunile de FreeType 2.13.0 și mai vechi, rezidă în modul de procesare a structurilor subglyph din fișierele de font TrueType GX și variabile. Codul defect atribuie o valoare short semnată unei variabile de tip unsigned long, iar adăugarea unei valori statice poate determina alocarea unei porțiuni insuficient de mari de memorie, rezultând într-o scriere out-of-bounds de până la 6 numere întregi lungi, semnate, față de acest buffer. Acest defect poate fi folosit pentru executarea de cod arbitrar, care constituie un risc semnificativ de securitate, a declarat compania într-un comunicat oficial.
Impactul asupra distribuțiilor Linux
Deși vulnerabilitatea a fost remediată de aproape doi ani, multe distribuții Linux folosesc încă versiuni depășite ale bibliotecii FreeType, și astfel rămân vulnerabile la acest defect critic. Distribuțiile afectate de această problemă includ AlmaLinux, Alpine Linux, Amazon Linux 2, Debian stable, Devuan, RHEL, CentOS Stream, Alma Linux 8 și 9, GNU Guix, Mageia, OpenMandriva, openSUSE Leap, Slackware și Ubuntu 22.04.
Cum să vă protejați
În lumina exploatărilor active raportate, utilizatorii sunt sfătuiți să își actualizeze instanțele de FreeType la cea mai recentă versiune 2.13.3 pentru a asigura o protecție optimă împotriva posibilelor atacuri. Specialistul FreeType, Werner Lemberg, a subliniat faptul că versiunile mai noi de 2.13.0 nu mai suferă de această vulnerabilitate, confirmând că o remediere a fost implementată de aproape doi ani. În general, utilizatorii sunt sfătuiți să mențină actualizate sistemele de operare și software-ul utilizat, și să evite descărcarea de fișiere din surse nesigure pentru a preveni astfel de vulnerabilități.
Concluzie
Descoperirea și raportarea vulnerabilităților, precum cea din biblioteca FreeType, subliniază importanța unei gestionări proactive a securității cibernetice. Întreprinderile și utilizatorii individuali sunt puternic încurajați să aplice actualizările disponibile și să adopte un comportament de securitate cibernetică preventiv.
În cele din urmă, este crucial să se conștientizeze că, chiar și codul open-source, folosit pe scară largă, poate prezenta riscuri, iar colaborarea între companii și dezvoltatori rămâne un element cheie în combaterea amenințărilor cibernetice.
Sursa articolului:
https://thehackernews.com/2025/03/meta-warns-of-freetype-vulnerability.html
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
