【安全资讯】Facebook披露FreeType 2漏洞被攻击利用

概要：

Facebook近日警告称，FreeType库中的一个漏洞可能导致任意代码执行，且已有报告显示该漏洞在攻击中被利用。FreeType是一个广泛使用的开源字体渲染库，安装在数百万个系统和服务中，影响范围广泛，亟需引起重视。

主要内容：

FreeType库的漏洞被追踪为CVE-2025-27363，CVSS v3严重性评分为8.1（高）。该漏洞存在于所有版本的FreeType中，直到2.13版本，已于2023年2月9日的2.13.0版本中修复。Facebook在公告中指出，漏洞源于在解析与TrueType GX和可变字体文件相关的字体子字形结构时，存在越界写入的问题。具体来说，脆弱的代码将一个有符号短整型值分配给一个无符号长整型，并添加一个静态值，导致内存分配不足，从而可能导致任意代码执行。

Facebook虽然可能在某种程度上依赖FreeType，但尚不清楚其安全团队所见的攻击是否发生在其平台上。考虑到FreeType在多个平台上的广泛使用，软件开发者和项目管理员必须尽快升级到最新的FreeType 2.13.3版本。尽管最新的脆弱版本（2.13.0）已有两年历史，但旧版本的库可能在软件项目中持续存在，因此尽快解决该漏洞至关重要。

Facebook表示：“我们在发现开源软件中的安全漏洞时会进行报告，因为这有助于增强在线安全。”该公司承诺将继续致力于保护用户的私人通信，保持警惕。