Facebook 披露 FreeType 2 漏洞遭利用,可致任意代码执行
HackerNews 编译,转载请注明出处: Facebook 警告称,FreeType 2.13 及以下版本中的一个漏洞可导致任意代码执行,且该漏洞已被用于攻击。 FreeType 是一个广泛使用的开源字体渲染库,用于显示文本和程序化地将文本添加到图像中。它支持多种字体格式,如 TrueType (TTF)、OpenType (OTF) 等。 该库安装在数百万个系统和服务中,包括 Linux、Android、游戏引擎、GUI 框架和在线平台。 此漏洞编号为 CVE-2025-27363,CVSS v3 评分为 8.1(高危),已在 2023 年 2 月 9 日的 FreeType 2.13.0 版本中修复。 Facebook 昨日披露了这一漏洞,警告称该漏洞在所有 2.13 及以下版本的 FreeType 中均可被利用,并且已有报告显示该漏洞在攻击中被积极利用。 “在 FreeType 2.13.0 及以下版本中,当尝试解析与 TrueType GX 和可变字体文件相关的字体子图结构时,存在越界写入问题,”公告中写道。 “漏洞代码将一个有符号短整型值赋给一个无符号长整型,然后添加一个静态值,导致其回绕并分配过小的堆缓冲区。” “随后,代码会在这个缓冲区的边界外写入多达 6 个有符号长整型,这可能导致任意代码执行。” 尽管 Facebook 可能在某种程度上依赖 FreeType,但尚不清楚其安全团队观察到的攻击是否发生在其平台上,或者他们是在其他地方发现了这些攻击。 鉴于 FreeType 在多个平台上的广泛使用,软件开发者和项目管理员必须尽快升级到 FreeType 2.13.3(最新版本)。 尽管最新易受攻击的版本(2.13.0)已发布两年,但较旧的库版本可能在软件项目中长期存在,因此尽快解决该漏洞至关重要。 BleepingComputer 就此漏洞及其利用方式向 Meta 询问,收到了以下声明: “当我们发现开源软件中的安全漏洞时,会进行报告,因为这有助于增强每个人在线安全,”Facebook 对 BleepingComputer 表示。“我们认为用户希望我们不断探索提高安全性的方法。我们将保持警惕,并致力于保护人们的私人通信。” 消息来源:Bleeping Computer; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
FBI 将 FaceApp 视作俄罗斯的潜在威胁
作为一款受欢迎的 AI 人脸编辑器,FaceApp 的趣味性已经被大量用户给证实。然而美国联邦调查局(FBI)却担心,该应用或对国家安全造成潜在的威胁。11 月 25 日,FBI 助理主任 Jill Tyson 在致纽约民主党参议员 Chuck Schumer 的信中称:该机构正在调查 FaceApp 与俄罗斯之间的联系 —— 因为这款 App 来自俄罗斯,且俄方可访问境内的数据。 (截图 via App Store) 实际上,FBI 的这番回答,是针对 Chuck Schumer 在 7 月 17 日发来的一封信的回应。 当时这款应用引发了病毒式传播,就连乔纳斯兄弟(Jonas Brothers)和勒布朗·詹姆斯(LeBron James)等名人都在用 FaceApp 来拍摄自己的“AI 老年照”。 一些持怀疑态度的人在仔细研究了 FaceApp 的服务条款之后,发现其隐私政策允许应用开发者获得图像的永久权利和向广告商提供数据,并据此提出了他们的担忧。 (截图 via Cnet) 7 月份的时候,移动安全公司 Guardian 首席执行官 Will Strafach 对该应用进行了分析,并对 FBI 的评估感到过虑。 Strafach 表示:“我们没有观察到 FaceApp 中有恶意行为的证据,即便是草率的开发实践,也已经通过弹出式对话框而得到解决。无证据表明有外国情报威胁,且 FBI 的这种说法,对海外开发商是相当不公平的”。 显然,比起应用程序本身的安全性,FBI 更关注 App 的起源地。该机构并未在信用引用任何 FaceApp 掩盖进行间谍或影响政治选举的证据,但指出俄罗斯的数据保留法案,允许政府向境内运营的企业索取相关公民数据。 对于此事,FaceApp 和 FBI 方面均未予置评。 (稿源:cnBeta,封面源自网络。)
FaceApp 可能面临 FBI 和 FTC 对其安全问题的调查
病毒式迅速传播的FaceApp正面临来自美国参议院少数党领袖Chuck Schumer的进一步审查。参议员要求联邦调查局和联邦贸易委员会对俄罗斯开发的AI照片编辑应用程序进行国家安全和隐私调查。 在给FBI主任Christopher Wray和FTC主席Joe Simons的公开信中,Chuck Schumer说他严重关切正在汇总数据的保护以及用户是否知道谁可以访问这些数据。Chuck Schumer要求联邦调查局评估上传到FaceApp的任何数据是否能够落入俄罗斯政府手中。他还要求联邦贸易委员会检查它是否有足够的保障措施来保护用户的隐私。 FaceApp目前在美国大受欢迎,已经有数百万美国用户。该应用程序可让您拍摄自拍照,或选择已有的照片,并应用AI年龄过滤器,让您看起来更老或者更年轻。该应用程序周三发表声明,回应了有关如何处理用户照片的隐私问题。该应用程序否认对用户数据的任何错误处理。 (稿源:cnBeta,封面源自网络。)
美民主党呼吁对来自俄罗斯的 FaceApp 应用展开安全调查
据外媒报道,照片编辑应用FaceApp作为一款全新的年龄滤镜应用再次在社交媒体上大受欢迎,然而美国民主党的人却不认为这是件令人高兴的事情。据称,出于该应用由俄罗斯开发人员开发,民主党全国委员会(DNC)向2020年民主党总统竞选团队发出慎用的警告。 另外,参议院少数党领袖Chuck Schumer也已经正式要求FBI和FTC对该应用展开国家安全调查。 “这款应用能让用户对照片里的人进行不同(年龄层面)的转化,比如让照片中的人变老。然而不幸的是,这种新奇并非没有风险:FaceApp由俄罗斯人开发,”DNC首席安全官Bob Lord发出警告。 Schumer则在信中写道:“如果将美国公民的敏感个人信息提供给一个积极参与针对美国的网络敌对行动的敌对外国势力,那将是非常令人不安的。” 据了解,FaceApp确实会把照片上传到服务器上以应用效果,但这家公司只上传正在修改的特定照片。FaceApp CEO Yaroslav Goncharov在2017年也曾告诉媒体,虽然公司有时会为了表现而短期存储图片,但大多数图片很快就会删除。另外,这家公司还曾表示:“大多数图片会在上传后48小时内从我们的服务器上删除。” 此外,针对近期对隐私的担忧,FaceApp指出,他们不会出售或跟任何第三方共享任何用户的数据,“即使核心研发团队位于俄罗斯,用户数据也不会转移到俄罗斯。” 不过鉴于2016年的教训,美国民主党还是打算更加小心谨慎为好。 (稿源:cnBeta,封面源自网络。)