Специалисты по информационной безопасности обнаружили критическую уязвимость в популярной библиотеке FreeType, которая затрагивает все версии до 2.13.0. Уязвимость, получившая идентификатор CVE-2025-27363 и оценку 8,1 по шкале CVSS, позволяет злоумышленникам осуществлять удаленное выполнение произвольного кода.
Масштаб угрозы и технические детали
FreeType представляет собой широко распространенную библиотеку с открытым исходным кодом для обработки и рендеринга шрифтов. Она интегрирована в множество критически важных систем, включая операционные системы Linux и Android, игровые движки, графические интерфейсы и веб-платформы. Уязвимость затрагивает механизм обработки шрифтов TrueType GX и переменных шрифтов.
Технический анализ уязвимости
Проблема связана с некорректной обработкой подглифовых структур шрифтов. Уязвимый код выполняет небезопасное преобразование типов между signed short и unsigned long, что приводит к переполнению буфера. В результате происходит некорректное выделение памяти в куче с последующей записью данных за пределы выделенного буфера, что создает условия для выполнения произвольного кода.
Подтвержденные случаи эксплуатации
Исследователи подтверждают, что уязвимость уже активно эксплуатируется злоумышленниками. Хотя конкретные детали атак не раскрываются, факт их существования подчеркивает серьезность угрозы и необходимость срочного обновления затронутых систем.
Рекомендации по защите
Администраторам систем и разработчикам настоятельно рекомендуется выполнить следующие действия:
— Обновить FreeType до версии 2.13.3 или новее
— Провести аудит систем на наличие уязвимой версии библиотеки
— Внедрить механизмы мониторинга попыток эксплуатации уязвимости
Учитывая критичность уязвимости и широкое распространение FreeType, организациям следует принять срочные меры по обновлению затронутых систем. Промедление с установкой исправлений может привести к серьезным последствиям для безопасности инфраструктуры.