近期,安全界传来消息,Facebook旗下的安全研究团队揭露了一个涉及广泛应用的开源字体渲染库FreeType的安全隐患。这一漏洞,编号为CVE-2025-27363,被评定为高风险,其威胁级别达到了8.1/10分。
FreeType,作为一款将字符栅格化并转化为位图的开源工具,广泛应用于Android、macOS等操作系统以及众多游戏引擎中,其重要性不言而喻。
据详细分析,该漏洞存在于FreeType 2.13.0及更早版本中,主要问题在于处理TrueType GX和可变字体文件时出现的越界写入错误。具体而言,代码中存在将有符号短整型数值错误地赋给无符号长整型变量的情况,这一不当转换加上后续的静态值叠加,导致了数值溢出和堆缓冲区分配不足。此漏洞使得攻击者能够在缓冲区外写入最多6个有符号长整型数值,这一行为极有可能触发任意代码执行,进而对系统安全构成严重威胁。
值得注意的是,FreeType团队已在2023年2月9日发布的2.13.0版本中修复了这一漏洞。然而,考虑到许多用户仍在使用旧版操作系统或软件,且存在黑客可能已经利用此漏洞进行攻击的风险,安全形势依然严峻。
鉴于上述情况,Facebook强烈建议所有用户尽快将他们的系统或FreeType库更新到最新版本,以有效规避潜在的安全风险。这一举措对于保护个人信息安全和维护系统稳定至关重要。
