Facebook rivela la falla FreeType 2 sfruttata negli attacchi

Meta avverte che una vulnerabilità di FreeType (tutte le versioni fino alla 2.13) può portare all'esecuzione di codice arbitrario. Questo difetto è già stato sfruttato in attacchi. FreeType è una popolare libreria di rendering di font open source utilizzata per visualizzare testo e aggiungere testo alle immagini in modo programmatico. Fornisce funzionalità per caricare, rasterizzare e rendere i font in vari formati, come TrueType (TTF), OpenType (OTF) e altri. La libreria è installata in milioni di sistemi e servizi, tra cui Linux, Android, motori di gioco, framework GUI e piattaforme online. La vulnerabilità, tracciata come CVE-2025-27363 e con un punteggio di gravità CVSS v3 di 8,1 ("alto"). L’errore è corretta nella versione 2.13.0 di FreeType il 9 febbraio 2023.

Facebook: i dettagli della vulnerabilità FreeType

Facebook ha divulgato il difetto nelle scorse ore, avvisando che la vulnerabilità è sfruttabile in tutte le versioni di FreeType fino alla versione 2.13. Secondo quanto riportato dall’azienda: "una scrittura fuori dai limiti esiste nelle versioni 2.13.0 e precedenti di FreeType quando si tenta di analizzare le strutture dei sottoglifi dei font correlate a TrueType GX e ai file dei font variabili. Il codice vulnerabile assegna un valore short firmato a un long non firmato e quindi aggiunge un valore statico che lo fa avvolgere e allocare un buffer heap troppo piccolo. Il codice quindi scrive fino a 6 interi long con segno fuori dai limiti relativi a questo buffer. Ciò potrebbe causare l'esecuzione di codice arbitrario".

La piattaforma potrebbe fare affidamento su FreeType in una certa misura. Tuttavia, non è chiaro se gli attacchi visti dal suo team di sicurezza siano avvenuti sulla sua piattaforma o se li abbiano scoperti altrove. Considerando l'uso diffuso di FreeType su più piattaforme, gli sviluppatori di software e gli amministratori di progetto devono eseguire l'aggiornamento a FreeType 2.13.3 (ultima versione) il prima possibile. L'ultima versione vulnerabile (2.13.0) risale a due anni fa. Le versioni più vecchie della libreria possono comunque persistere nei progetti software per lunghi periodi, rendendo importante risolvere subito il difetto.