A Meta alertou sobre uma vulnerabilidade de segurança que impacta a biblioteca de renderização de fontes de código aberto FreeType, a qual pode ter sido explorada ativamente.
Essa vulnerabilidade foi designada com o identificador CVE
CVE-2025-27363
, e recebeu uma pontuação CVSS de 8.1, indicando alta gravidade.
Descrita como uma falha de escrita fora dos limites (out-of-bounds write), ela pode ser explorada para realizar execução remota de código ao analisar certos arquivos de fonte.
"Existe uma escrita fora dos limites nas versões do FreeType até a 2.13.0, ao tentar analisar as estruturas de subglyph de fonte relacionadas a TrueType GX e arquivos de fonte variável," disse a empresa em um comunicado de segurança.
O código vulnerável atribui um valor short assinado a um longo sem sinal e depois adiciona um valor estático, causando sua volta ao início e a alocação de um buffer de heap muito pequeno.
O código então escreve até 6 inteiros longos assinados fora dos limites em relação a este buffer.
Isso pode resultar em execução arbitrária de código.
A empresa não compartilhou detalhes sobre como a falha está sendo explorada, quem está por trás disso, e a escala dos ataques.
Contudo, reconheceu que o bug "pode ter sido explorado ativamente".
Quando contactado para um comentário, o desenvolvedor do FreeType, Werner Lemberg, informou que uma correção para a vulnerabilidade foi incorporada há quase dois anos.
"Versões do FreeType superiores a 2.13.0 não são mais afetadas", disse Lemberg.
Em uma mensagem separada postada na lista de correio oss-security do Open Source Security, veio à tona que várias distribuições Linux estão executando uma versão desatualizada da biblioteca, tornando-as suscetíveis à falha.
Isso inclui:
- AlmaLinux
- Alpine Linux
- Amazon Linux 2
- Debian estável / Devuan
- RHEL / CentOS Stream / Alma Linux / etc.
- GNU Guix
- Mageia
- OpenMandriva
- openSUSE Leap
- Slackware, e
- Ubuntu 22.04
À luz da exploração ativa, recomenda-se que os usuários atualizem suas instâncias para a versão mais recente do FreeType (2.13.3) para proteção ideal.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...