Meta a émis un avis de sécurité concernant une vulnérabilité récemment découverte dans le Bibliothèque de rendu de polices open source FreeType. Suivi comme CVE-2025-27363, cette faille a été attribuée à un score CVSS de 8.1, le classant comme un problème de haute gravité. Les experts en sécurité avertissent que cette vulnérabilité peut avoir été activement exploité dans les attaques du monde réel.
Qu'est-ce que CVE-2025-27363?
Ce défaut est un vulnérabilité d'écriture hors limites trouvé dans Type libre versions 2.13.0 et plus bas. Cela provient d'une erreur de calcul dans l'allocation de mémoire lors de l'analyse Fichiers de polices TrueType GX et variables. Plus précisément, le défaut se produit lorsque:
- Une court métrage signé une valeur est attribuée à un long non signé, provoquant un dépassement d'entier.
- Un petit tampon de tas est alloué en raison de calculs incorrects.
- Jusqu'à six entiers longs signés sont écrits hors limites, menant au potentiel exécution de code distant.
Cela signifie qu'un attaquant pourrait créer un fichier de police malveillant qui, une fois traité, leur permet d'exécuter du code arbitraire et potentiellement de prendre le contrôle du système affecté.
Le développeur de FreeType confirme le correctif
Le chercheur en sécurité Werner Lemberg, un développeur de FreeType, a confirmé qu'un correctif pour ce problème a été introduit il y a presque deux ans. Selon Lemberg, n'importe quelle version au dessus 2.13.0 n'est plus affecté par cette vulnérabilité.
Distributions Linux concernées
Malgré la disponibilité du correctif, plusieurs populaires Distributions Linux utilisent toujours des versions obsolètes de FreeType, les rendant vulnérables à cet exploit. Selon un rapport sur le Liste de diffusion sur la sécurité Open Source (oss-sécurité), les distributions suivantes restent affectées:
- AlmaLinux
- Alpine Linux
- Amazon Linux 2
- Debian Stable / Devuan
- RHEL / Flux CentOS / AlmaLinux 8 & 9
- GNU Guix
- Mageia
- OpenMandriva
- saut openSUSE
- Slackware
- Ubuntu 22.04
Si vous utilisez l'une de ces distributions, il est fortement recommandé que vous mettre à jour FreeType immédiatement pour corriger cette faille de sécurité.
Comment vous protéger
Pour atténuer le risque d'exploitation, les utilisateurs et les administrateurs système doivent suivre les étapes suivantes:
- Vérifiez votre version de FreeType: Exécutez la commande:
freetype-config --versionou vérifiez les détails du package en utilisantdpkg -l | grep freetype(Basé sur Debian) ourpm -qa | grep freetype(Basé sur RHEL). - Mettre à jour FreeType immédiatement: Mise à niveau vers version 2.13.3 ou plus tard.
- Appliquer les correctifs de sécurité: Maintenez votre distribution Linux à jour avec les derniers correctifs de sécurité.
- Activer les mesures de sécurité du système: Utiliser AppArmor, SELinux, ou d'autres cadres de sécurité pour limiter les risques d'exécution.
- Surveiller les avis de sécurité: Restez informé des rapports de sécurité de Suivi de sécurité Debian et Sécurité Red Hat.
Conclusion
Avec le nombre croissant de exploits zero-day cibler les vulnérabilités du système, il est essentiel de corriger les failles de sécurité. CVE-2025-27363 est un risque sérieux qui, si exploité, peut mener à exécution de code distant et un compromis complet sur le système.
Si votre système exécute une version affectée de FreeType, mettre à jour immédiatement vers la version 2.13.3 ou plus tard pour protéger vos données et votre infrastructure.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: