Обнародованы подробности опасной уязвимости в FreeType, которая может привести к удаленному выполнению внешнего кода. По информации на GitHub и Facebook, злоумышленники уже начали использовать эту уязвимость.
Библиотека FreeType, которая используется для работы со шрифтами, установлена на более чем 1 миллиарде устройств. Она используется в различных операционных системах, таких как GNU/Linux, FreeBSD, Android и iOS, а также в браузерных движках (Chromium, Gecko, WebKit).
Уязвимость с кодовым именем CVE-2025-27363 связана с ошибкой записи за пределами буфера при обработке TrueType GX и вариативных шрифтов. Злоумышленники могут использовать специально созданный файл шрифтов для выполнения любого кода в системе. Это позволяет им получить контроль над устройством, если они убедят пользователя открыть вредоносный файл или посетить вредоносный сайт.
Уровень угрозы оценен как высокий, 8,1 балла по шкале CVSS. Уязвимость присутствует в версиях FreeType 2.13.0 и ниже, поэтому пользователям рекомендуется обновить библиотеку до последней доступной версии, на данный момент это 2.13.3.
© KiberSec.ru – 02.04.2025, обновлено 02.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
