Meta telah memperingatkan bahwa kerentanan keamanan yang berdampak pada perpustakaan rendering font open-source freetype mungkin telah dieksploitasi di alam liar.
Kerentanan telah diberikan pengidentifikasi CVE CVE-2025-27363dan membawa skor CVSS 8,1, menunjukkan tingkat keparahan yang tinggi. Digambarkan sebagai cacat menulis di luar batas, dapat dieksploitasi untuk mencapai eksekusi kode jarak jauh ketika menguraikan file font tertentu.
“Tulisan yang tidak terikat ada dalam versi Freetype 2.13.0 dan di bawah ketika mencoba untuk menguraikan struktur subglyph font yang terkait dengan Truetype GX dan file font variabel,” kata perusahaan itu dalam penasihat.
“Kode yang rentan memberikan nilai pendek yang ditandatangani untuk yang tidak ditandatangani dan kemudian menambahkan nilai statis yang menyebabkannya membungkus dan mengalokasikan terlalu kecil dari buffer tumpukan. Kode kemudian menulis hingga 6 bilangan bulat yang ditandatangani jauh dari batas relatif terhadap buffer ini. Ini dapat mengakibatkan eksekusi kode yang sewenang -wenang.”
Perusahaan tidak berbagi spesifik tentang bagaimana kekurangan sedang dieksploitasi, siapa yang ada di belakangnya, dan skala serangan. Namun, diakui bahwa bug “mungkin telah dieksploitasi di alam liar.”
Ketika dihubungi untuk memberikan komentar, pengembang Freetype Werner Lemberg mengatakan kepada Hacker News bahwa perbaikan untuk kerentanan telah dimasukkan selama hampir dua tahun. “Versi freetype lebih besar dari 2.13.0 tidak lagi terpengaruh,” kata Lemberg.
Dalam pesan terpisah yang diposting di milis Open Security Security OSS-Security, telah menjelaskan bahwa beberapa distribusi Linux menjalankan versi perpustakaan yang sudah ketinggalan zaman, sehingga membuat mereka rentan terhadap cacat. Ini termasuk –
- Almalinux
- Alpine Linux
- Amazon Linux 2
- Debian Stable / Devuan
- RHEL / Centos Stream / Alma Linux / dll. 8 dan 9
- GNU GUIX
- Mageia
- OpenMandriva
- OpenSUSE LEAP
- Slackware, dan
- Ubuntu 22.04
Mengingat eksploitasi aktif, pengguna disarankan untuk memperbarui instance mereka ke versi terbaru Freetype (2.13.3) untuk perlindungan optimal.
