Aktívne zneužívaná zraniteľnosť v populárnej softvérovej knižnici FreeType
Vývojári populárnej open-source softvérovej knižnice pre vykresľovanie fontov FreeType vydali bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú zraniteľnosť vysokej závažnosti. CVE-2025-27363 by vzdialený neautentifikovaný útočník podvrhnutím špeciálne vytvorených súborov mohol zneužiť na vzdialené vykonanie kódu.
Zraniteľné systémy:
- Knižnica FreeType vo verziách starších ako 2.13.0 (vrátane)
Opis zraniteľnosti:
CVE-2025-27363 (CVSS 3.1 skóre: 8,1)
Zraniteľnosť spočíva v nesprávnom parsovaní tzv. font subglyph štruktúr. Vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvorených TrueType GX a súborov fontov mohol zneužiť na zápis mimo povolených hodnôt pamäte. To mu môže dovoliť vzdialene vykonať kód a získanie kontroly nad systémom.
Podľa bezpečnostných výskumníkov z Facebook je zraniteľnosť v súčasnosti aktívne zneužívaná útočníkmi. Bližšie informácie o spôsobe a rozsahu jej zneužitia neboli zatiaľ zverejnené.
Možné škody:
- Vzdialené vykonanie kódu
- Narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania:
Administrátorom a programátorom odporúčame uistiť sa, či nepoužívajú predmetnú knižnicu v rámci svojich produktov a služieb. V prípade, že áno, odporúčame vykonať bezodkladnú aktualizáciu knižnice FreeType na verziu 2.13.3.
Zdroje: