CVE-2025-27363: Meta の FreeType の脆弱性が悪用される

Metaは、新たに発見された脆弱性に関するセキュリティ勧告を発行しました。 FreeType オープンソースフォントレンダリングライブラリ. として追跡 CVE-2025-27363, この欠陥には CVSS スコア 8.1, 重大度の高い問題として分類する. セキュリティ専門家は、この脆弱性について警告している 積極的に利用された可能性がある 現実世界の攻撃において.

CVE-2025-27363とは何か?

この欠陥は 境界外書き込みの脆弱性 で見つかりました フリータイプ バージョン 2.13.0 以下. これは、解析時のメモリ割り当ての計算ミスから発生します。 TrueType GX および可変フォント ファイル. 具体的には, 欠陥が発生するのは:

• A 署名済み 値が割り当てられている 符号なしロング, 整数オーバーフローを引き起こす.
• 計算が間違っているため、小さなヒープバッファが割り当てられます.
• まで 6 つの符号付き長整数 範囲外に書かれている, 潜在的につながる リモートコード実行.

これは、攻撃者が悪意のあるフォントファイルを作成し、, 処理時, 任意のコードを実行し、影響を受けるシステムを制御できるようになる可能性がある.

FreeType 開発者が修正を確認

セキュリティ研究者 ヴェルナー・レンベルグ, FreeTypeの開発者, この問題の修正が導入されたことを確認した 約2年前. レンバーグによれば, 任意のバージョン その上 2.13.0 この脆弱性の影響を受けなくなりました.

影響を受ける Linux ディストリビューション

修正プログラムが利用可能であるにもかかわらず, いくつかの人気のある Linuxディストリビューション FreeTypeの古いバージョンをまだ使用している, この脆弱性により、. 報告書によると、 オープンソースセキュリティメーリングリスト (OSSセキュリティ), 以下のディストリビューションは影響を受けたままです:

• アルマLinux
• アルパイン・リナックス
• アマゾンリナックス 2
• Debian 安定版 / デヴアン
• RHEL / CentOS ストリーム / アルマLinux 8 & 9
• GNU ギックス
• マゲイア
• オープンマンドリバ
• openSUSE Leap
• スラックウェア
• Ubuntu 22.04

これらのディストリビューションのいずれかを使用している場合, 強くお勧めします FreeTypeをすぐにアップデートする このセキュリティ上の欠陥を修正するために.

自分を守る方法

搾取のリスクを軽減するため, ユーザーとシステム管理者は次の手順を実行する必要があります。:

1. FreeTypeのバージョンを確認する: コマンドを実行する: freetype-config --version または、パッケージの詳細を確認するには、 dpkg -l | grep freetype (Debianベース) また rpm -qa | grep freetype (RHELベース).
2. FreeTypeを今すぐアップデート: アップグレード バージョン 2.13.3 以上.
3. セキュリティパッチを適用する: Linuxディストリビューションを最新のセキュリティ修正プログラムで更新してください.
4. システムセキュリティ対策を有効にする: AppArmorを使用する, SELinux, または実行リスクを制限するためのその他のセキュリティフレームワーク.
5. セキュリティアドバイザリを監視する: セキュリティレポートの最新情報を入手する Debian セキュリティトラッカー と レッドハットセキュリティ.

結論

増加する ゼロデイエクスプロイト システムの脆弱性を狙う, セキュリティ上の欠陥を修正することは重要だ. CVE-2025-27363は深刻なリスクであり、, 悪用された場合, につながる可能性があります リモートコード実行 システム全体の侵害.

システムが影響を受けるバージョンのFreeTypeを実行している場合, すぐにバージョンに更新 2.13.3 またはそれ以降のデータとインフラストラクチャを保護する.