Meta ha emesso un avviso di sicurezza riguardante una vulnerabilità recentemente scoperta nel Libreria di rendering dei font open source FreeType. Monitorato come CVE-2025-27363, a questo difetto è stato assegnato un Punteggio CVSS di 8.1, classificandolo come un problema di elevata gravità. Gli esperti di sicurezza avvertono che questa vulnerabilità potrebbe essere stato sfruttato attivamente negli attacchi del mondo reale.
Che cosa è CVE-2025-27363?
Questo difetto è un vulnerabilità di scrittura fuori limite trovato in Tipo libero Versioni 2.13.0 e sotto. Ha origine da un errore di calcolo nell'allocazione della memoria durante l'analisi File di font TrueType GX e variabili. In particolare, il difetto si verifica quando:
- La firmato breve il valore è assegnato a un lungo senza segno, causando un overflow di interi.
- Un piccolo buffer heap è allocato a causa di calcoli errati.
- Fino a sei numeri interi lunghi con segno sono scritti fuori dai limiti, che porta al potenziale esecuzione di codice remoto.
Ciò significa che un aggressore potrebbe creare un file di font dannoso che, quando elaborato, consente loro di eseguire codice arbitrario e potenzialmente prendere il controllo del sistema interessato.
Lo sviluppatore di FreeType conferma la correzione
Ricercatore di sicurezza Werner Lemberg, uno sviluppatore di FreeType, confermato che è stata introdotta una correzione per questo problema quasi due anni fa. Secondo Lemberg, qualsiasi versione sopra 2.13.0 non è più interessato da questa vulnerabilità.
Distribuzioni Linux interessate
Nonostante la correzione sia disponibile, diversi popolari Distribuzioni Linux stanno ancora utilizzando versioni obsolete di FreeType, rendendoli vulnerabili a questo exploit. Secondo un rapporto sulla Lista di distribuzione sulla sicurezza open source (sicurezza oss), le seguenti distribuzioni rimangono interessate:
- AlmaLinux
- Linux alpino
- Amazon Linux 2
- Debian stabile / Devuan
- RHEL / Flusso CentOS / AlmaLinux 8 & 9
- GNU Guix
- Magia
- ApriMandriva
- openSUSE Leap
- Slackware
- Ubuntu 22.04
Se stai utilizzando una di queste distribuzioni, ti consigliamo vivamente aggiorna FreeType immediatamente per correggere questa falla di sicurezza.
Come proteggersi
Per mitigare il rischio di sfruttamento, gli utenti e gli amministratori di sistema devono adottare le seguenti misure:
- Controlla la tua versione di FreeType: Esegui il comando:
freetype-config --versiono controlla i dettagli del pacchetto utilizzandodpkg -l | grep freetype(Basato su Debian) orpm -qa | grep freetype(Basato su RHEL). - Aggiorna FreeType immediatamente: Aggiorna a versione 2.13.3 o più tardi.
- Applicare le patch di sicurezza: Mantieni aggiornata la tua distribuzione Linux con le ultime correzioni di sicurezza.
- Abilita misure di sicurezza del sistema: Utilizzare AppArmor, SELinux, o altri framework di sicurezza per limitare i rischi di esecuzione.
- Monitorare gli avvisi di sicurezza: Rimani aggiornato sui report di sicurezza da Tracker di sicurezza Debian e Sicurezza Red Hat.
Conclusione
Con il crescente numero di exploit zero-day mirare alle vulnerabilità del sistema, è fondamentale correggere le falle di sicurezza. CVE-2025-27363 è un rischio serio che, se sfruttato, può portare a esecuzione di codice remoto e compromissione completa del sistema.
Se il sistema esegue una versione interessata di FreeType, aggiorna immediatamente alla versione 2.13.3 o in seguito per proteggere i tuoi dati e la tua infrastruttura.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: