CVE-2025-27363: FreeType-sårbarhed i Meta Exploited in the Wild

Meta har udsendt en sikkerhedsadvisering vedrørende en nyligt opdaget sårbarhed i FreeType open source-skrifttypegengivelsesbibliotek. Spores som CVE-2025-27363, denne fejl er blevet tildelt en CVSS-score på 8.1, at kategorisere det som et alvorligt problem. Sikkerhedseksperter advarer om, at denne sårbarhed kan være blevet aktivt udnyttet i angreb fra den virkelige verden.

Hvad er CVE-2025-27363?

Denne fejl er en out-of-bounds skrivesårbarhed fundet i FreeType versioner 2.13.0 og nedenfor. Det stammer fra en fejlberegning i hukommelsesallokering ved parsing TrueType GX og variable skrifttyper. Konkret, fejlen opstår når:

• A underskrevet kort værdi er tildelt en usigneret lang, forårsager et heltalsoverløb.
• En lille heap-buffer er allokeret på grund af forkerte beregninger.
• Op til seks signerede lange heltal er skrevet uden for rammerne, fører til potentiale fjernkørsel af programkode.

Dette betyder, at en angriber kan lave en ondsindet skrifttypefil, der, når den behandles, giver dem mulighed for at udføre vilkårlig kode og potentielt tage kontrol over det berørte system.

FreeType-udvikler bekræfter rettelse

Sikkerhed forsker Werner Lemberg, en udvikler af FreeType, bekræftede, at en rettelse til dette problem blev introduceret næsten to år siden. Ifølge Lemberg, enhver version over 2.13.0 er ikke længere påvirket af denne sårbarhed.

Berørte Linux-distributioner

På trods af at rettelsen er tilgængelig, flere populære Linux distributioner bruger stadig forældede versioner af FreeType, gør dem sårbare over for denne udnyttelse. Ifølge en rapport om Open Source Security postliste (oss-sikkerhed), følgende distributioner er fortsat påvirket:

• AlmaLinux
• Alpine Linux
• Amazon Linux 2
• Debian Stable / Devuan
• RHEL / CentOS Stream / AlmaLinux 8 & 9
• GNU Guix
• Mageia
• OpenMandriva
• openSUSE Leap
• Slackware
• Ubuntu 22.04

Hvis du bruger nogen af disse distributioner, det anbefales stærkt, at du opdater FreeType med det samme at rette denne sikkerhedsfejl.

Sådan beskytter du dig selv

For at mindske risikoen for udnyttelse, brugere og systemadministratorer bør tage følgende trin:

1. Tjek din FreeType-version: Kør kommandoen: freetype-config --version eller tjek pakkeoplysninger ved hjælp af dpkg -l | grep freetype (Debian-baseret) eller rpm -qa | grep freetype (RHEL-baseret).
2. Opdater FreeType med det samme: Opgrader til udgave 2.13.3 eller senere.
3. Anvend sikkerhedsrettelser: Hold din Linux-distribution opdateret med de seneste sikkerhedsrettelser.
4. Aktiver systemsikkerhedsforanstaltninger: Brug AppArmor, SELinux, eller andre sikkerhedsrammer for at begrænse udførelsesrisici.
5. Overvåg sikkerhedsrådgivning: Hold dig opdateret på sikkerhedsrapporter fra Debian Security Tracker og Red Hat Sikkerhed.

Konklusion

Med det stigende antal af nul-dages bedrifter målrette systemets sårbarheder, det er afgørende at reparere sikkerhedsfejl. CVE-2025-27363 er en alvorlig risiko, at, hvis det bliver udnyttet, kan føre til fjernkørsel af programkode og komplet systemkompromis.

Hvis dit system kører en berørt version af FreeType, opdatere øjeblikkeligt til version 2.13.3 eller senere for at beskytte dine data og infrastruktur.