网络第5域

开源字体渲染库FreeType出现高危安全漏洞 据称已经被黑客利用发起攻击

字号+作者:蓝点网 来源:蓝点网 2025-03-14 16:49 评论(创建话题) 收藏成功收藏本文

FreeType是个开源免费的字体渲染库,该渲染库主要用于显示文本并以编程方式将文本添加到图像中,借助该开源库开发者还可以加载、格栅化和渲染各种格式的字'...

FreeType是个开源免费的字体渲染库,该渲染库主要用于显示文本并以编程方式将文本添加到图像中,借助该开源库开发者还可以加载、格栅化和渲染各种格式的字体,例如TTF字体或OTF字体等。lmQ品论天涯网

lmQ品论天涯网

根据统计信息这个渲染库也被安装在数以百万计的设备或服务中,包括但不限于Linux、Android、游戏引擎、GUI框架或者各类在线平台中。lmQ品论天涯网

社交媒体公司Facebook旗下的安全研究实验室日前发布消息透露FreeType中存在的安全漏洞,该漏洞编号为CVE-2025-27363,漏洞评分为8.1/10分。lmQ品论天涯网

该漏洞已经在2023年2月9日发布的FreeType2.13.0版中修复,为什么Facebook到现在才披露该漏洞呢?因为担心操作系统和软件开发商来不及修复导致漏洞被黑客利用。lmQ品论天涯网

Facebook在漏洞说明中表示:lmQ品论天涯网

在尝试解析与TrueTypeGx和可变字体文件相关的字体子字形结构时,FreeType2.13.0之前的版本存在越界写入楼哦对那个,存在漏洞的代码会将具有符号短整型值赋给无符号的长整型值,同时还会添加静态之,导致其回绕并分配太小的堆缓冲区。然后代码会将最多6个有符号的长整数写入相对此缓冲区的边界外,这可能导致任意代码执行。lmQ品论天涯网

实际上即便修复漏洞的版本于2年前发布,到直到现在仍然有大量项目在使用包含安全漏洞的旧版本,Facebook建议软件开发者和项目管理员应尽快升级到FreeType2.13.0+版本,毕竟也已经有黑客尝试利用这个漏洞展开攻击。lmQ品论天涯网

有趣的是发现这个漏洞可能是个很困难的事情,或许Facebook在某种程度上依赖于FreeType这才在日常安全研究时发现这类漏洞,但现在还不清楚Facebook是从自家平台上还是研究外部项目时发现的漏洞。lmQ品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱service@pltyw.com

评论(0人参与,0条评论)
  • 请先说点什么
    热门评论
    最新评论
    正在载入评论列表...

    查看完整讨论话题】 | 【用户登录】 | 【用户注册

    6
    扫二维码添加收藏返回顶部