此篇文章发布距今已超过22天,您需要注意文章的内容或图片是否可用!
Facebook 警告称,FreeType 2.13 及以上版本中存在一个漏洞,可能导致任意代码执行,有报道称该漏洞已被利用进行攻击。FreeType 是一个流行的开源字体渲染库,用于显示文本并以编程方式将文本添加到图像中。它提供加载、栅格化和渲染各种格式的字体的功能,例如 TrueType (TTF)、OpenType (OTF) 等。该库安装在数百万个系统和服务中,包括 Linux、Android、游戏引擎、GUI 框架和在线平台。该漏洞的编号为CVE-2025-27363,CVSS v3 严重性评分为 8.1(“高”),已于 2023 年 2 月 9 日在 FreeType 版本 2.13.0 中修复。Facebook 昨日披露了该漏洞,并警告称该漏洞可在 FreeType 2.13 版以下的所有版本中利用,且有报告称该漏洞正被积极利用进行攻击。公告称:“在尝试解析与 TrueType GX 和可变字体文件相关的字体子字形结构时,FreeType 2.13.0 及以下版本中存在越界写入。”存在漏洞的代码将一个有符号短整型值赋给一个无符号长整型值,然后添加一个静态值,导致其回绕并分配太小的堆缓冲区。然后,代码会将最多 6 个有符号长整数写入相对于此缓冲区的边界之外。这可能会导致任意代码执行。Facebook 可能在某种程度上依赖 FreeType,但目前尚不清楚其安全团队发现的攻击是否发生在其平台上,还是他们在其他地方发现的。考虑到 FreeType 在多个平台上的广泛使用,软件开发人员和项目管理员必须尽快升级到 FreeType 2.13.3(最新版本)。虽然最新的易受攻击的版本(2.13.0)已有两年历史,但旧的库版本可以在软件项目 中长期存在,因此尽快解决该漏洞非常重要。BleepingComputer 向 Meta 询问了该漏洞及其利用方式,并收到了以下声明。Facebook 向 BleepingComputer 表示:“当我们发现开源软件中的安全漏洞时,我们会报告,因为这可以加强每个人的在线安全。”我们认为用户希望我们继续努力提高安全性。我们保持警惕并致力于保护人们的私人通信。信息来源 :BleepingComputer
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com
还没有评论,来说两句吧...