Meta ha emitido un aviso de seguridad sobre una vulnerabilidad recientemente descubierta en el Biblioteca de renderizado de fuentes de código abierto FreeType. Seguimiento como CVE-2025-27363, A este fallo se le ha asignado una Puntuación CVSS de 8.1, categorizándolo como un problema de alta gravedad. Los expertos en seguridad advierten que esta vulnerabilidad Puede haber sido explotado activamente en ataques del mundo real.
¿Qué es CVE-2025-27363??
Este fallo es un vulnerabilidad de escritura fuera de límites encontrado en Tipo libre versiones 2.13.0 y por debajo. Se origina a partir de un error de cálculo en la asignación de memoria al analizar Archivos de fuentes TrueType GX y variables. Específicamente, La falla ocurre cuando:
- La firmado corto Se asigna un valor a un largo sin signo, provocando un desbordamiento de enteros.
- Se asigna un pequeño buffer de montón debido a cálculos incorrectos.
- Hasta seis enteros largos con signo están escritos fuera de los límites, lo que conduce a un potencial ejecución remota de código.
Esto significa que un atacante podría crear un archivo de fuente malicioso que, cuando se procesa, Les permite ejecutar código arbitrario y potencialmente tomar el control del sistema afectado.
El desarrollador de FreeType confirma la solución
El investigador de seguridad Werner Lemberg, un desarrollador de FreeType, Confirmado que se introdujo una solución para este problema hace casi dos años. Según Lemberg, cualquier versión encima 2.13.0 ya no se ve afectado por esta vulnerabilidad.
Distribuciones de Linux afectadas
A pesar de que la solución está disponible, varios populares Distribuciones de Linux Todavía utilizan versiones obsoletas de FreeType, haciéndolos vulnerables a esta vulnerabilidad. Según un informe sobre la Lista de correo de seguridad de código abierto (seguridad de oss), Las siguientes distribuciones siguen afectadas:
- AlmaLinux
- Linux alpino
- Amazon Linux 2
- Debian estable / Devuan
- RHEL / Transmisión de CentOS / AlmaLinux 8 & 9
- GNU Guix
- Magia
- OpenMandriva
- openSUSE Salto
- Slackware
- Ubuntu 22.04
Si está utilizando alguna de estas distribuciones, es muy recomendable que actualizar FreeType inmediatamente Para parchar esta falla de seguridad.
Cómo protegerse
Para mitigar el riesgo de explotación, Los usuarios y administradores del sistema deben seguir los siguientes pasos:
- Comprueba tu versión de FreeType: Ejecutar el comando:
freetype-config --versiono verifique los detalles del paquete usandodpkg -l | grep freetype(Basado en Debian) orpm -qa | grep freetype(Basado en RHEL). - Actualice FreeType inmediatamente: Actualizar a versión 2.13.3 o después.
- Aplicar parches de seguridad: Mantenga su distribución de Linux actualizada con las últimas correcciones de seguridad.
- Habilitar medidas de seguridad del sistema: Utilice AppArmor, SELinux, u otros marcos de seguridad para limitar los riesgos de ejecución.
- Monitorear los avisos de seguridad: Manténgase actualizado sobre los informes de seguridad de Rastreador de seguridad de Debian y Seguridad de Red Hat.
Conclusión
Con el creciente número de exploits de día cero Apuntando a las vulnerabilidades del sistema, Es fundamental parchar las fallas de seguridad. CVE-2025-27363 es un riesgo grave que, si es explotado, puede llevar a ejecución remota de código y compromiso total del sistema.
Si su sistema ejecuta una versión afectada de FreeType, actualizar inmediatamente a la versión 2.13.3 o posterior para proteger sus datos e infraestructura.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: