Meta предупреждает о тревожной уязвимости безопасности, затрагивающей программное обеспечение с открытым исходным кодом

Facebook предупредила о проблеме в FreeType, которая может быть использована для удаленного выполнения кода. Как говорится в сообщении компании, уязвимость «могла быть использована злоумышленниками в реальных условиях».

Для устранения уязвимости недавно был выпущен патч. Facebook сообщает об ошибке выхода за пределы массива в FreeType, которая может позволить злоумышленникам удаленно выполнять произвольный код (RCE). В уведомлении о безопасности компания заявила, что уязвимость «могла быть использована в реальных условиях».

FreeType — это библиотека программного обеспечения с открытым исходным кодом, которая отображает шрифты. Она поддерживает различные форматы, такие как TrueType, OpenType и Type1, и широко используется в графических приложениях, игровых движках и операционных системах для отображения текста высокого качества. Крупные проекты, такие как Android, Linux, Unreal Engine и ChromeOS, зависят от него для рендеринга шрифтов.

Исправление ошибки

Уязвимость отслеживается как CVE-2025-27363 и получила оценку серьезности 8,1 (высокая). Она затрагивает версии библиотеки 2,13,0 и более ранние. Как пояснил Facebook в уведомлении, ее можно активировать «при попытке анализа структур подглифов шрифтов, связанных с файлами TrueType GX и переменными шрифтами».

«Уязвимый код присваивает знаковое короткое значение беззнаковому целому числу, а затем добавляет статическое значение, вызывая его переполнение и выделение буфера кучи слишком малого размера. Затем код записывает до 6 знаковых целых чисел за пределами этого буфера».

Хотя Facebook был тем, кто предупредил о проблеме уязвимости, неясно, использует ли он библиотеку и в какой мере. Также компания заявила, что уязвимость «могла быть использована в реальных условиях», но не уточнила, наблюдала ли она атаки на своей собственной платформе или где-либо еще.

Для решения проблемы разработчикам программного обеспечения следует как можно скорее обновить FreeType до последней версии (2,13,3). Первая чистая версия — 2,13,1, хотя на сайте FreeType ничего не говорится о повышении безопасности. «Это релиз с исправлениями, в котором внесены только незначительные изменения», — сказано на странице обновлений.