Aktívne zneužívaná zraniteľnosť v populárnej softvérovej knižnici FreeType

Vývojári populárnej open-source softvérovej knižnice pre vykresľovanie fontov FreeType vydali bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú zraniteľnosť vysokej závažnosti. CVE-2025-27363 by vzdialený neautentifikovaný útočník podvrhnutím špeciálne vytvorených súborov mohol zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

• Knižnica FreeType vo verziách starších ako 2.13.0 (vrátane)

Opis zraniteľnosti:

CVE-2025-27363 (CVSS 3.1 skóre: 8,1)

Zraniteľnosť spočíva v nesprávnom parsovaní tzv. font subglyph štruktúr. Vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvorených TrueType GX a súborov fontov mohol zneužiť na zápis mimo povolených hodnôt pamäte. To mu môže dovoliť vzdialene vykonať kód a získanie kontroly nad systémom.

Podľa bezpečnostných výskumníkov z Facebook je zraniteľnosť v súčasnosti aktívne zneužívaná útočníkmi. Bližšie informácie o spôsobe a rozsahu jej zneužitia neboli zatiaľ zverejnené.

Možné škody:

• Vzdialené vykonanie kódu
• Narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Administrátorom a programátorom odporúčame uistiť sa, či nepoužívajú predmetnú knižnicu v rámci svojich produktov a služieb. V prípade, že áno, odporúčame vykonať bezodkladnú aktualizáciu knižnice FreeType na verziu 2.13.3.

Zdroje:

• https://nvd.nist.gov/vuln/detail/CVE-2025-27363
• https://www.facebook.com/security/advisories/cve-2025-27363
• https://sensorstechforum.com/cve-2025-27363-freetype-meta-vulnerability/
• https://www.bleepingcomputer.com/news/security/facebook-discloses-freetype-2-flaw-exploited-in-attacks