Meta ha lanciato un allarme riguardo una vulnerabilità di sicurezza che coinvolge la libreria open-source di rendering dei font FreeType. Questa vulnerabilità è stata assegnata con l'identificativo CVE-2025-27363 e presenta un punteggio CVSS di 8.1, indicando un livello di gravità elevato. Il problema è descritto come un difetto di scrittura out-of-bounds, che potrebbe essere sfruttato per eseguire codice in modalità remota quando si analizzano determinati file di font.

Nello specifico

Il problema risiede nelle versioni 2.13.0 e precedenti di FreeType, dove un valore short firmato viene assegnato a un valore long non firmato, portando a un buffer di heap troppo piccolo. Di conseguenza, fino a sei interi long firmati possono essere scritti out-of-bounds rispetto a questo buffer, potenzialmente permettendo l'esecuzione di codice arbitrario.

Meta non ha condiviso dettagli su come questa vulnerabilità venga sfruttata, né su chi siano i responsabili o la portata degli attacchi, ma ha riconosciuto che il bug "potrebbe essere stato sfruttato attivamente".

Situazione attuale

Werner Lemberg, sviluppatore di FreeType, ha confermato che una correzione per la vulnerabilità è stata integrata da quasi due anni. Le versioni di FreeType superiori alla 2.13.0 non sono più vulnerabili. Tuttavia, è emerso che diverse distribuzioni Linux utilizzano una versione obsoleta della libreria, rendendole suscettibili al difetto. Tra queste troviamo AlmaLinux, Alpine Linux, Amazon Linux 2, Debian stable, Devuan, RHEL, CentOS Stream, Alma Linux, GNU Guix, Mageia, OpenMandriva, openSUSE Leap, Slackware e Ubuntu 22.04.

Raccomandazioni

Dato il rischio di sfruttamento attivo, si consiglia agli utenti di aggiornare le loro istanze alla versione più recente di FreeType (2.13.3) per garantire una protezione ottimale.