开源字体渲染库 FreeType 出现高危漏洞,可被黑客利用发起攻击

admin
admin
admin
138484
文章
114
评论
2025年3月16日00:56:35评论24 views字数 527阅读1分45秒阅读模式

开源字体渲染库 FreeType 出现高危漏洞,可被黑客利用发起攻击

关键词

安全漏洞

3 月 14 日消息,Facebook 旗下的安全研究实验室日前透露,FreeType 在 2.13.0 以前的版本中存在安全漏洞,该漏洞代号为 CVE-2025-27363,漏洞评分为 8.1/10 分,评级为高风险。
注:FreeType 是一款开源的字体渲染库,该渲染库可以将字符栅格化并映射成位图。Android、macOS 等操作系统及各种游戏引擎都有应用该字体渲染库。
开源字体渲染库 FreeType 出现高危漏洞,可被黑客利用发起攻击
该漏洞的详情如下:
FreeType 2.13.0 及以下版本在解析 TrueType GX 和可变字体文件的字体子字形结构时存在越界写入漏洞。问题代码将有符号短整型数值赋给无符号长整型变量,随后叠加静态值导致数值回绕,进而分配过小的堆缓冲区。该漏洞允许在缓冲区外写入多达 6 个有符号长整型数值,可能引发任意代码执行。
虽然该漏洞已于 2023 年 2 月 9 日在 FreeType 2.13.0 中被修复,但鉴于目前仍有很多用户在使用旧版本的操作系统或软件,同时可能有黑客已经在利用该漏洞展开攻击,Facebook 建议所有用户将他们的系统或将 FreeType 单独更新到最新版本以避免可能的安全风险。

  END  

原文始发于微信公众号(安全圈):【安全圈】开源字体渲染库 FreeType 出现高危漏洞,可被黑客利用发起攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月16日00:56:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   开源字体渲染库 FreeType 出现高危漏洞,可被黑客利用发起攻击https://cn-sec.com/archives/3844472.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息