Aktívne zneužívaná zraniteľnosť v populárnej softvérovej knižnici FreeType

Vývojári populárnej open-source softvérovej knižnice pre vykresľovanie fontov FreeType vydali bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú zraniteľnosť vysokej závažnosti. CVE-2025-27363 by vzdialený neautentifikovaný útočník podvrhnutím špeciálne vytvorených súborov mohol zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

  • Knižnica FreeType vo verziách starších ako 2.13.0 (vrátane)

Opis zraniteľnosti:

CVE-2025-27363 (CVSS 3.1 skóre: 8,1)

Zraniteľnosť spočíva v nesprávnom parsovaní tzv. font subglyph štruktúr. Vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvorených TrueType GX a súborov fontov mohol zneužiť na zápis mimo povolených hodnôt pamäte. To mu môže dovoliť vzdialene vykonať kód získanie kontroly nad systémom.

Podľa bezpečnostných výskumníkov z Facebook je zraniteľnosť v súčasnosti aktívne zneužívaná útočníkmi. Bližšie informácie o spôsobe a rozsahu jej zneužitia neboli zatiaľ zverejnené.

Možné škody:

  • Vzdialené vykonanie kódu
  • Narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Administrátorom a programátorom odporúčame uistiť sa, či nepoužívajú predmetnú knižnicu v rámci svojich produktov a služieb. V prípade, že áno, odporúčame vykonať bezodkladnú aktualizáciu knižnice FreeType na verziu 2.13.3.

Zdroje: