CVE-2025-27363: FreeType-kwetsbaarheid in Meta in het wild uitgebuit

Meta heeft een beveiligingsadvies uitgegeven over een onlangs ontdekte kwetsbaarheid in de FreeType open-source lettertype-renderingbibliotheek. Bijgehouden als CVE-2025-27363, aan dit gebrek is een CVSS-score van 8.1, het categoriseren als een probleem met een hoge ernst. Veiligheidsexperts waarschuwen dat deze kwetsbaarheid kan actief zijn uitgebuit bij aanvallen in de echte wereld.

Wat is CVE-2025-27363?

Dit gebrek is een out-of-bounds schrijfkwetsbaarheid gevonden in VrijType versies 2.13.0 en onder. Het komt voort uit een verkeerde berekening van de geheugentoewijzing bij het parsen TrueType GX en variabele lettertypebestanden. specifiek, het gebrek ontstaat wanneer:

• Een kort getekend waarde wordt toegekend aan een ongetekend lang, een integeroverloop veroorzaken.
• Er is een kleine heapbuffer toegewezen vanwege onjuiste berekeningen.
• Tot zes getekende lange gehele getallen zijn buiten de grenzen geschreven, leidend tot potentieel uitvoering van externe code.

Dit betekent dat een aanvaller een schadelijk lettertypebestand kan maken dat, wanneer verwerkt, stelt hen in staat willekeurige code uit te voeren en mogelijk de controle over het getroffen systeem over te nemen.

FreeType-ontwikkelaar bevestigt oplossing

security-onderzoeker Werner Lemberg, een ontwikkelaar van FreeType, bevestigd dat er een oplossing voor dit probleem is geïntroduceerd bijna twee jaar geleden. Volgens Lemberg, elke versie bovenstaand 2.13.0 wordt niet langer beïnvloed door deze kwetsbaarheid.

Betrokken Linux-distributies

Ondanks dat de oplossing beschikbaar is, meerdere populaire Linux-distributies nog steeds verouderde versies van FreeType gebruiken, waardoor ze kwetsbaar worden voor deze exploit. Volgens een rapport over de Open Source Security-mailinglijst (oss-beveiliging), de volgende distributies blijven beïnvloed:

• AlmaLinux
• Alpine Linux
• Amazon Linux 2
• Debian stabiel / Devuaan
• RHEL / CentOS-stroom / AlmaLinux 8 & 9
• GNU GUIx
• Magie
• OpenMandriva
• openSUSE Leap
• Slackware
• Ubuntu 22.04

Als u een van deze distributies gebruikt, het wordt sterk aanbevolen dat u FreeType onmiddellijk updaten om dit beveiligingslek te repareren.

Hoe jezelf te beschermen

Om het risico op uitbuiting te beperken, Gebruikers en systeembeheerders moeten de volgende stappen ondernemen:

1. Controleer uw FreeType-versie: Voer de opdracht uit: freetype-config --version of controleer de pakketdetails met behulp van dpkg -l | grep freetype (Debian-gebaseerd) of rpm -qa | grep freetype (RHEL-gebaseerd).
2. FreeType onmiddellijk updaten: Upgraden naar versie 2.13.3 of later.
3. Beveiligingspatches toepassen: Houd uw Linux-distributie up-to-date met de nieuwste beveiligingsoplossingen.
4. Systeembeveiligingsmaatregelen inschakelen: Gebruik AppArmor, SELinux, of andere beveiligingskaders om uitvoeringsrisico's te beperken.
5. Beveiligingsadviezen bewaken: Blijf op de hoogte van beveiligingsrapporten van Debian-beveiligingstracker en Red Hat-beveiliging.

Conclusie

Met het toenemende aantal zero-day exploits gericht op kwetsbaarheden in het systeem, Het is van cruciaal belang om beveiligingslekken te patchen. CVE-2025-27363 is een ernstig risico dat, indien misbruikt, kan leiden tot uitvoering van externe code en volledig systeemcompromis.

Als uw systeem een getroffen versie van FreeType gebruikt, onmiddellijk updaten naar versie 2.13.3 of later om uw gegevens en infrastructuur te beschermen.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij: