设置
  • 日夜间
    随系统
    浅色
    深色
  • 主题色

开源字体渲染库 FreeType 出现高危安全漏洞,可被黑客利用发起攻击

2025/3/14 22:09:53 来源:IT之家 作者:潞源(实习) 责编:汪淼
感谢IT之家网友 Coje_He 的线索投递!

IT之家 3 月 14 日消息,Facebook 旗下的安全研究实验室日前透露,FreeType 在 2.13.0 以前的版本中存在安全漏洞,该漏洞代号为 CVE-2025-27363,漏洞评分为 8.1/10 分,评级为高风险。

IT之家注:FreeType 是一款开源的字体渲染库,该渲染库可以将字符栅格化并映射成位图。Android、macOS 等操作系统及各种游戏引擎都有应用该字体渲染库。

图片 4

该漏洞的详情如下:

FreeType 2.13.0 及以下版本在解析 TrueType GX 和可变字体文件的字体子字形结构时存在越界写入漏洞。问题代码将有符号短整型数值赋给无符号长整型变量,随后叠加静态值导致数值回绕,进而分配过小的堆缓冲区。该漏洞允许在缓冲区外写入多达 6 个有符号长整型数值,可能引发任意代码执行。

虽然该漏洞已于 2023 年 2 月 9 日在 FreeType 2.13.0 中被修复,但鉴于目前仍有很多用户在使用旧版本的操作系统或软件,同时可能有黑客已经在利用该漏洞展开攻击,Facebook 建议所有用户将他们的系统或将 FreeType 单独更新到最新版本以避免可能的安全风险。

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

软媒旗下网站: IT之家 最会买 - 返利返现优惠券 iPhone之家 Win7之家 Win10之家 Win11之家

软媒旗下软件: 软媒手机APP应用 魔方 最会买 要知