Meta hat eine Sicherheitswarnung bezüglich einer neu entdeckten Sicherheitslücke in der FreeType Open-Source-Schriftarten-Rendering-Bibliothek. Verfolgt als CVE-2025-27363, Dieser Fehler wurde mit einem CVSS-Score von 8.1, Kategorisierung als ein Problem mit hohem Schweregrad. Sicherheitsexperten warnen, dass diese Schwachstelle möglicherweise aktiv ausgenutzt bei realen Angriffen.
Was ist CVE-2025-27363?
Dieser Fehler ist ein Sicherheitslücke beim Schreiben außerhalb der Grenzen gefunden in FreeType Versionen 2.13.0 und darunter. Es entsteht durch eine Fehlkalkulation bei der Speicherzuweisung beim Parsen TrueType GX und variable Schriftartdateien. Speziell, Der Fehler tritt auf, wenn:
- A kurz unterschrieben Wert wird einem vorzeichenlose Länge, verursacht einen Integer-Überlauf.
- Aufgrund fehlerhafter Berechnungen wird ein kleiner Heap-Puffer zugewiesen.
- Bis zu sechs vorzeichenbehaftete lange Ganzzahlen werden außerhalb der Grenzen geschrieben, was zu potenziellen Remotecodeausführung.
Das bedeutet, dass ein Angreifer eine schädliche Schriftartdatei erstellen könnte, die, bei der Verarbeitung, ermöglicht es ihnen, beliebigen Code auszuführen und möglicherweise die Kontrolle über das betroffene System zu übernehmen.
FreeType-Entwickler bestätigt Fix
Der Sicherheitsforscher Werner Lemberg, ein Entwickler von FreeType, bestätigt, dass ein Fix für dieses Problem eingeführt wurde vor fast zwei Jahren. Laut Lemberg, jede Version über 2.13.0 ist nicht mehr von dieser Sicherheitslücke betroffen.
Betroffene Linux-Distributionen
Obwohl der Fix verfügbar ist, mehrere beliebte Linux-Distributionen verwenden immer noch veraltete Versionen von FreeType, wodurch sie für diesen Exploit anfällig werden. Laut einem Bericht über die Mailingliste für Open Source-Sicherheit (OSS-Sicherheit), Die folgenden Distributionen bleiben betroffen:
- AlmaLinux
- Alpine Linux
- Amazon Linux 2
- Debian Stable / Devuan
- RHEL / CentOS-Stream / AlmaLinux 8 & 9
- GNU Guix
- Mageia
- OpenMandriva
- openSUSE Leap
- Slackware
- Ubuntu 22.04
Wenn Sie eine dieser Distributionen verwenden, Es wird dringend empfohlen, dass Sie FreeType sofort aktualisieren um diese Sicherheitslücke zu beheben.
So schützen Sie sich
Um das Risiko der Ausbeutung zu verringern, Benutzer und Systemadministratoren sollten die folgenden Schritte unternehmen:
- Überprüfen Sie Ihre FreeType-Version: Führen Sie den Befehl aus:
freetype-config --versionoder überprüfen Sie die Paketdetails mitdpkg -l | grep freetype(Debian-basiert) oderrpm -qa | grep freetype(RHEL-basiert). - FreeType sofort aktualisieren: Upgrade auf Version 2.13.3 oder später.
- Sicherheitspatches anwenden: Halten Sie Ihre Linux-Distribution mit den neuesten Sicherheitsfixes auf dem neuesten Stand.
- Aktivieren Sie Systemsicherheitsmaßnahmen: Verwenden Sie AppArmor, SELinux, oder andere Sicherheitsrahmen zur Begrenzung der Ausführungsrisiken.
- Sicherheitshinweise überwachen: Bleiben Sie auf dem Laufenden über Sicherheitsberichte von Debian Security Tracker und Red Hat Sicherheit.
Abschluss
Mit der steigenden Zahl von Zero-Day-Exploits gezielte Systemschwachstellen, Es ist wichtig, Sicherheitslücken zu schließen. CVE-2025-27363 ist ein ernstes Risiko, das, wenn ausgenutzt, Kann führen zu Remotecodeausführung und vollständige Systemkompromittierung.
Wenn auf Ihrem System eine betroffene Version von FreeType ausgeführt wird, sofort aktualisieren auf Version 2.13.3 oder später, um Ihre Daten und Infrastruktur zu schützen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: