Facebook advierte que un tipo de vulnerabilidad en todas las versiones de hasta 2.13 puede causar la ejecución de código arbitraria, con informes de que el defecto se ha utilizado en los ataques.
Freetype es una biblioteca de fuentes de código abierto abierta que se usa para mostrar texto y agregar programa por programa a imágenes. Proporciona características para cargar, ráster y hacer las políticas en varios formatos, como TrueType (TTF), OpenPype (OTF) y otros.
La biblioteca está instalada en millones de sistemas y servicios, incluidos Linux, Android, motores de juego, marcos de GUI y plataformas en línea.
Vulnerabilidad, seguida bajo CVE-2025-27363 Y dado una puntuación de gravedad CVSS V3 de 8.1 (“High”), se estableció en la versión 2.13.0 de Freetype el 9 de febrero de 2023.
Facebook reveló la culpa ayer, advirtiendo que la vulnerabilidad se puede usar en todas las versiones de Freetype hasta la versión 2.13 y que hay informes activamente en los ataques.
“Existe una escritura fuera del límite en el Tipo de FreeType 2.13.0 y debajo de las versiones durante las estructuras intentadas de análisis de los subglyfes de fuentes vinculados a los archivos policiales de TrueType variables”, “,”, “,”, “,”, “,”, “,”, “,”, “,”, “,”, “,”, “,”, “,”, “. acostar el boletín.
“El código vulnerable atribuye un valor corto firmado a un largo largo, luego agrega un valor estático, lo que lo hace envolver y asignarse demasiado pequeño con un búfer de montones”.
“El código luego escribe hasta 6 largos firmados fuera de los límites en comparación con este sello. Esto puede conducir a la ejecución del código arbitrario”.
Facebook puede contar con FreeType hasta cierto punto, pero no está claro si los ataques vistos por su equipo de seguridad han tenido lugar en su plataforma o si los descubrieron en otro lugar.
Dado el uso generalizado de FreeType en varias plataformas, los desarrolladores de software y los administradores de proyectos deben ir a Freetype 2.13.3 (última versión) lo antes posible.
Aunque la última versión vulnerable (2.13.0) data de dos años, las versiones anteriores de la biblioteca pueden persistir en proyectos de software durante largos períodos, lo que hace que sea importante resolver el defecto lo antes posible.
BleepingCompute cuestionó a Meta sobre la falla y cómo fue explotada y se le envió la siguiente declaración.
“Reportamos errores de seguridad en el software de código abierto cuando los encontramos porque fortalece la seguridad en línea para todos”, dijo Facebook a Bleeping Compompute.
“Creemos que los usuarios esperan que continúemos trabajando en medios para mejorar la seguridad. Seguimos atentos y decididos a proteger las comunicaciones privadas de las personas”.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.