Уязвимость в библиотеке FreeType угрожает системам и сервисам

​ Шрифты-троянцы: хакеры атакуют устройства через уязвимость во FreeType Facebook предупреждает об уязвимости в библиотеке FreeType, которая затрагивает все версии до 2.13 и может привести к выполнению произвольного кода. Сообщается, что данная уязвимость уже используется в реальных атаках. FreeType — это широко используемая библиотека с открытым исходным кодом, предназначенная для рендеринга шрифтов. Она применяется в различных системах и сервисах, включая Linux, Android, игровые движки, графические интерфейсы и веб-платформы. Библиотека поддерживает работу с форматами TrueType TTF , OpenType OTF и другими. Уязвимость, отслеживаемая как CVE-2025-27363 , получила высокий рейтинг опасности — 8.1 балла по шкале CVSS v3. Она была устранена в версии FreeType 2.13.0 от 9 февраля 2023 года. Однако Facebook сообщил о ней только вчера, подчеркнув, что уязвимость присутствует во всех версиях FreeType до 2.13 и уже активно эксплуатируется злоумышленниками. По информации, изложенной в бюллетене, проблема связана с выходом за границы буфера при обработке структур подглифов в TrueType GX и переменных шрифтах. Ошибка возникает из-за присваивания знакового короткого значения беззнаковому длинному из-за чего происходит выделение слишком маленького буфера и, в результате, переполнение кучи. Как итог, программа может записать до шести длинных знаковых чисел за границы выделенного буфера, что может привести к выполнению произвольного кода. В Facebook не уточнили, использовалась ли эта уязвимость в атаках против собственных сервисов компании или она была обнаружена в других местах. Однако учитывая широкое распространение FreeType, разработчикам программного обеспечения и администраторам проектов настоятельно рекомендуется немедленно обновить библиотеку до версии 2.13.3. Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ. ITsec NEWS

Бойкий дизайн Запрещённый и экстремистский Facebook предупреждает о критической уязвимости в FreeType, позволяющей выполнять произвольный код при обработке шрифтов TrueType GX и переменных шрифтов. Суть проблемы — в некорректном приведении типов при выделении памяти. Знаковое short преобразуется в беззнаковый long с последующим добавлением статического значения. Это приводит к выделению недостаточного буфера и запись за его пределы, что открывает путь к выполнению стороннего кода. Учитывая, что FreeType встроена в миллионы систем, разработчикам стоит срочно обновиться до FreeType 2.13.3. Несмотря на то, что уязвимая версия выпущена два года назад, в проектах часто застревают устаревшие библиотеки. Теперь ещё и шрифтов бояться? НеКасперский

Уязвимость библиотеки для растеризации шрифтов FreeType связана с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированного файла вариативных шрифтов BDU:2025-02719 CVE-2025-27363 Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам; - ограничение доступа из внешних сетей Интернет ; - использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному обеспечению; - установка шрифтов только из доверенных источников; - использование антивирусного программного обеспечения для проверки устанавливаемых шрифтов на предмет наличия сигнатур ВПО. Использование рекомендаций:

Чат, который думает за тебя

Linux, Android и игровые движки под угрозой: обновите FreeType Facebook предупреждает об уязвимости в библиотеке FreeType, которая затрагивает все версии до 2.13 и может привести к выполнению произвольного кода. Сообщается, что данная уязвимость уже используется в реальных атаках. FreeType — это широко используемая библиотека с открытым исходным кодом, предназначенная для рендеринга шрифтов. Она применяется в различных системах и сервисах, включая Linux, Android, игровые движки, графические интерфейсы и веб-платформы. Библиотека поддерживает работу с форматами TrueType TTF , OpenType OTF и другими. — Уязвимость, отслеживаемая как CVE-2025-27363, получила высокий рейтинг опасности — 8.1 балла по шкале CVSS v3. Она была устранена в версии FreeType 2.13.0 от 9 февраля 2023 года. Однако Facebook сообщил о ней только вчера, подчеркнув, что уязвимость присутствует во всех версиях FreeType до 2.13 и уже активно эксплуатируется злоумышленниками. #News #CVE #Vulnerability #FreeType #Linux #Android / Белый хакер

‍ Угроза для Android, Linux и игровых движков: FreeType требует обновления Facebook предупреждает о серьезной уязвимости в библиотеке FreeType, которая присутствует во всех версиях до 2.13 и может привести к выполнению произвольного кода. Эксперты подтверждают, что данная брешь уже активно используется злоумышленниками в реальных атаках. Проблема, отслеживаемая как CVE-2025-27363, связана с выходом за границы буфера при обработке структур подглифов в шрифтах. Уязвимость получила высокий рейтинг опасности — 8.1 балла по шкале CVSS v3, что подчеркивает серьезность угрозы. FreeType является широко используемой библиотекой с открытым исходным кодом, применяемой в Linux, Android, игровых движках и веб-платформах. Разработчикам настоятельно рекомендуется немедленно обновить библиотеку до версии 2.13.3 для предотвращения возможных атак. Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ. #кибербезопасность #уязвимость #FreeType

В библиотеке FreeType обнаружили 0-day уязвимость Специалисты сообщили об уязвимости, обнаруженной во всех версиях библиотеки FreeType, которая может привести к удаленному выполнению произвольного кода.