Meta 警告 FreeType 漏洞的被攻击风险
- 浏览次数 436
- 喜欢 0
HackerNews 编译,转载请注明出处:
Meta警告称,FreeType开源字体渲染库存在安全漏洞(CVE-2025-27363),可能已被用于实际攻击。该漏洞被评定为高危,CVSS评分为8.1,属于越界写入漏洞,可能被利用来实现远程代码执行。
漏洞存在于FreeType 2.13.0及以下版本中。当解析与TrueType GX和可变字体文件相关的字体子字形结构时,漏洞代码会将一个有符号短整型值分配给无符号长整型,并添加一个静态值,导致缓冲区分配过小。随后,代码会在分配的缓冲区边界外写入多达6个有符号长整型值。
FreeType开发者Werner Lemberg表示,该漏洞已在两年前修复,2.13.0以上版本不再受影响。然而,许多Linux发行版仍在使用过时版本的FreeType库,存在被利用的风险。这些发行版包括:
- AlmaLinux
- Alpine Linux
- Amazon Linux 2
- Debian稳定版
- RHEL/CentOS Stream 8和9
- GNU Guix
- Mageia
- OpenMandriva
- openSUSE Leap
- Slackware
- Ubuntu 22.04
鉴于该漏洞已被实际利用的风险,用户被建议尽快更新至FreeType的最新版本(2.13.3),以获得最佳保护。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文