Meta警告称，FreeType库中的一个漏洞正被积极利用

Meta警告称，FreeType库中存在一个越界写入漏洞（编号为CVE-2025-27363，CVSS评分为8.1），该漏洞可能已在攻击中被积极利用。

Meta发布的公告中写道：“在FreeType 2.13.0及以下版本中，当尝试解析与TrueType GX和可变字体文件相关的字体子字形结构时，存在一个越界写入漏洞。漏洞代码将一个有符号短整型值赋值给一个无符号长整型变量，然后添加一个静态值，导致其回绕并分配过小的堆缓冲区。代码随后会相对于该缓冲区越界写入最多6个有符号长整型值。这可能导致任意代码执行。”

该公司未披露利用此漏洞的攻击细节、攻击者或攻击规模。此漏洞可能已在野外被利用。该漏洞不影响2.13.0之后的FreeType版本。

专家警告称，多个Linux发行版正在使用过时的库版本，使其容易受到攻击。

一些受影响的Linux发行版包括：

- AlmaLinux  

- Alpine Linux  

- Amazon Linux 2  

- Debian稳定版 / Devuan  

- RHEL / CentOS Stream / Alma Linux等8和9版本  

- GNU Guix  

- Mageia  

- OpenMandriva  

- openSUSE Leap  

- Slackware  

- Ubuntu 22.04  

由于漏洞已被积极利用，建议用户将其安装的FreeType更新至2.13.3版本。

原文始发于微信公众号（黑猫安全）：Meta警告称，FreeType库中的一个漏洞正被积极利用