|
ChMkK2fUan6Id8nLAACWrtm5M7IAAqApAON2KMAAJbG686.jpg
近日,有科技爱好者提供的线索显示,Facebook旗下的安全研究团队发现了一款广泛使用的开源字体渲染库FreeType存在高危安全漏洞。该漏洞存在于FreeType 2.13.0版本之前的版本中,漏洞编号为CVE-2025-27363,其严重性评分为8.1/10,属于高风险等级。
FreeType是一款开源的字体渲染库,能够将字符转换为位图形式进行显示。这款渲染库在众多操作系统和软件中被广泛应用,例如Android、macOS等主流系统以及各类游戏引擎均依赖于FreeType来实现字体渲染功能。
具体来看,这一漏洞出现在FreeType处理TrueType GX和可变字体文件中的字体子字形结构时。由于代码逻辑中的不当操作,一个有符号短整型数值被赋值给无符号长整型变量,并在后续计算中叠加了固定数值,导致数值回绕现象发生。这种错误使得分配的堆缓冲区尺寸过小,最终可能引发多达6个有符号长整型数值的越界写入。攻击者利用这一漏洞,可能实现任意代码执行,从而对受影响的系统造成严重威胁。
该漏洞已于2023年2月9日在FreeType 2.13.0版本中得到修复。然而,考虑到目前仍有大量用户继续使用旧版本的操作系统或软件,且不排除已有黑客尝试利用此漏洞展开攻击的可能性,Facebook的安全研究团队建议所有受影响的用户尽快将系统或单独安装的FreeType升级至最新版本,以消除潜在的安全隐患。 | 
让创业更简单