近期,安全领域传来一则重要消息,一款备受信赖的开源字体渲染库FreeType被曝存在高危安全漏洞。这一发现由Facebook旗下的安全研究团队揭露,漏洞编号为CVE-2025-27363,其风险等级高达8.1/10,引起了业界的广泛关注。
FreeType,作为开源界的明星产品,承担着将字符转换为位图以供显示的重任。它广泛应用于众多操作系统和软件中,包括Android、macOS等主流操作系统,以及众多游戏引擎,是字体渲染不可或缺的一环。
据悉,该漏洞主要存在于FreeType处理TrueType GX和可变字体文件的过程中。具体而言,是由于在处理字体子字形结构时,代码逻辑出现了不当操作,导致一个有符号短整型数值被错误地赋值给无符号长整型变量。这一错误在后续的计算中引发了数值回绕现象,使得分配的堆缓冲区尺寸过小,进而可能引发多达6个有符号长整型数值的越界写入。
这一漏洞的严重性不容忽视。攻击者一旦成功利用该漏洞,就有可能实现任意代码执行,对受影响的系统构成严重威胁。考虑到FreeType的广泛应用,这一漏洞的潜在影响范围极广。
值得庆幸的是,该漏洞已在FreeType的2.13.0版本中得到了修复。然而,由于许多用户仍然在使用旧版本的操作系统或软件,因此该漏洞的威胁依然存在。也不能排除已有黑客尝试利用此漏洞进行攻击的可能性。
针对这一情况,Facebook的安全研究团队强烈建议所有受影响的用户尽快将系统或单独安装的FreeType升级至最新版本。这是消除潜在安全隐患、保障系统安全的最为直接和有效的方法。同时,也提醒广大用户保持警惕,密切关注相关安全动态,以确保自身信息安全不受侵害。
