Ssylka

Как обновление FreeType спасает системы от CVE-2025-27363?

М⃰ сообщила о критической уязвимости в библиотеке FreeType, идентифицируемой как CVE-2025-27363. Оценка CVSS равная 8.1 указывает на высокий риск, так как ошибка позволяет записывать данные за пределы выделенной памяти, что может привести к удалённому выполнению кода при обработке специфических файлов шрифтов.
Как обновление FreeType спасает системы от CVE-2025-27363?
Изображение носит иллюстративный характер

Ошибка возникает при анализе субструктур шрифтов, связанных с TrueType GX и переменными шрифтами. Проблема обусловлена некорректным присвоением знакового значения типа short переменной типа unsigned long, после чего добавляется статическое число, вызывающее переполнение и неадекватное выделение памяти. В результате возможно запись до шести знаковых long-значений за пределы буфера.

Уязвимость затрагивает версии FreeType 2.13.0 и ниже, что делает значительное число систем подверженными атакам. Некорректная обработка файлов шрифтов способна привести к выполнению произвольного кода в системе.

Предупреждение также отмечает, что данная ошибка, как предполагается, эксплуатируется «в дикой природе». При этом подробности методов атаки, характер злоумышленников и масштаб инцидентов не разглашаются, а информация поступила через рассылку Open Source Security (oss-security).

Разработчик FreeType, Вернер Лемберг, отметил, что исправление ошибки было интегрировано почти два года назад. По его заявлению, версии библиотеки, начиная с 2.13.1, больше не подвержены данной уязвимости.

Несмотря на наличие исправления, устаревшие версии FreeType продолжают использоваться в ряде Linux-дистрибутивов. Среди затронутых систем – AlmaLinux, Alpine Linux, Amazon Linux 2, Debian stable/Devuan, а также RHEL, CentOS Stream, AlmaLinux версий 8 и 9, GNU Guix, Mageia, OpenMandriva, openSUSE Leap, Slackware и Ubuntu 22.04.

Для защиты систем рекомендуется обновить FreeType до последней безопасной версии 2.13.3. Своевременное применение обновлений позволяет минимизировать риск эксплуатации данной ошибки и обеспечить стабильную работу приложений, использующих библиотеку с открытым исходным кодом.


Новое на сайте

15504Как сетевое лидерство может спасти компанию от провала? 15503Пищевая угроза: связь ультрапереработанных продуктов с преждевременной смертностью 15502Космическая алхимия: как умирающие звезды создают тяжелые элементы 15501Как совпадение в футбольных титулах раскрывает загадку последовательности фибоначчи? 15500Культура безнаказанности: скандал в BBC и проблема "неприкасаемых" звезд 15499Древний сосуд в форме собачьей головы: история апулийского ритона 15498Беспрецедентная распродажа процессоров Intel на Amazon: игровые CPU по рекордно низким... 15497Экранизация "соляной тропы": как новый фильм изменит туристический ландшафт... 15496Прорыв в астрономии: обнаружено гигантское облако звездообразования "эос"... 15495Почему пользователи WooCommerce стали мишенью для изощренной фишинговой атаки с... 15494Какой динозавр был самым быстрым в истории земли? 15493Как насекомые и свекольный сок могут изменить будущее пищевой индустрии? 15492Как «битва визажистов» возвращается на экраны, а «громовержцы» штурмуют кинотеатры? 15491Космическое возрождение: туманность Орла в новом свете к 35-летию телескопа хаббл 15490Как наука объясняет объективность цвета в мире субъективного восприятия?