В библиотеке FreeType обнаружили 0-day уязвимость - «Новости» » Интернет технологии
sitename
Управляйте продвижением в мобильном приложении Директа — «Блог для вебмастеров»
Управляйте продвижением в мобильном приложении Директа — «Блог для вебмастеров»
 Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
 Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
 Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
 В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
 «Хакеры.RU»: первая часть книги в продаже, вторая — уже на подходе - «Новости»
«Хакеры.RU»: первая часть книги в продаже, вторая — уже на подходе - «Новости»
 Легендарный создатель 3,5-дюймовых HDD вернулся и представил на CES 2026 флешки и не только - «Новости сети»
Легендарный создатель 3,5-дюймовых HDD вернулся и представил на CES 2026 флешки и не только - «Новости сети»
 Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
 Blade Runner встречает Fallout: New Vegas в геймплейном трейлере ретрофутуристического экшена ExeKiller - «Новости сети»
Blade Runner встречает Fallout: New Vegas в геймплейном трейлере ретрофутуристического экшена ExeKiller - «Новости сети»
 Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » В библиотеке FreeType обнаружили 0-day уязвимость - «Новости»

✔В библиотеке FreeType обнаружили 0-day уязвимость - «Новости»

17 марта 2025 537 Новости / Добавления стилей / Вёрстка / Преимущества стилей / Самоучитель CSS / Линии и рамки / Заработок 0

Специалисты Facebook* сообщили об уязвимости, обнаруженной во всех версиях библиотеки FreeType, которая может привести к удаленному выполнению произвольного кода.


FreeType — популярная опенсорсная библиотека рендеринга шрифтов, которая используется для растеризации шрифтов и операций над ними. Она предоставляет функциональность для загрузки, растеризации и рендеринга шрифтов в различных форматах, включая TrueType (TTF), OpenType (OTF) и так далее. Эта библиотека используется в миллионах систем и сервисов, включая Linux, Android, игровые движки, GUI-фреймворки и онлайн-платформы.


Обнаруженная уязвимость получила идентификатор CVE-2025-27363 и 8,1 балла по шкале CVSS. Проблема была устранена в версии FreeType 2.13.0, выпущенной 9 февраля 2023 года.


Исследователи опубликовали информацию об уязвимости на этой неделе, предупредив, что проблема представляет опасность для всех версий FreeType вплоть до 2.13, и уже использовалась в атаках.


«Во FreeType версий ниже 2.13.0 обнаружена проблема out-of-bounds записи при попытке парсинга подглифовых структур шрифтов, связанных с TrueType GX и переменными файлами шрифтов, — сообщается в бюллетене. — Уязвимый код присваивает знаковый короткий целый (signed short) беззнаковому длинному (unsigned long), а затем добавляет статическое значение, что приводит к переполнению и выделению слишком маленького буфера в хипе. Затем код записывает до 6 знаковых длинных целых чисел (signed long), выходя за границы этого буфера. Это может привести к выполнению произвольного кода».


Вероятно, Facebook использует FreeType в какой-то форме, но неизвестно, были ли упомянутые атаки обнаружены в самой социальной сети или их выявили в другом месте. Никакой дополнительной информации об эксплуатации бага исследователи не приводят.


Учитывая широкое распространение FreeType на различных платформах, разработчикам и администраторам рекомендуется как можно скорее обновить FreeType до новейшей версии 2.13.3.


* Запрещена в России. Принадлежит компании Meta, которая признана экстремистской и запрещена на территории РФ.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Специалисты Facebook* сообщили об уязвимости, обнаруженной во всех версиях библиотеки FreeType, которая может привести к удаленному выполнению произвольного кода. FreeType — популярная опенсорсная библиотека рендеринга шрифтов, которая используется для растеризации шрифтов и операций над ними. Она предоставляет функциональность для загрузки, растеризации и рендеринга шрифтов в различных форматах, включая TrueType (TTF), OpenType (OTF) и так далее. Эта библиотека используется в миллионах систем и сервисов, включая Linux, Android, игровые движки, GUI-фреймворки и онлайн-платформы. Обнаруженная уязвимость получила идентификатор CVE-2025-27363 и 8,1 балла по шкале CVSS. Проблема была устранена в версии FreeType 2.13.0, выпущенной 9 февраля 2023 года. Исследователи опубликовали информацию об уязвимости на этой неделе, предупредив, что проблема представляет опасность для всех версий FreeType вплоть до 2.13, и уже использовалась в атаках. «Во FreeType версий ниже 2.13.0 обнаружена проблема out-of-bounds записи при попытке парсинга подглифовых структур шрифтов, связанных с TrueType GX и переменными файлами шрифтов, — сообщается в бюллетене. — Уязвимый код присваивает знаковый короткий целый (signed short) беззнаковому длинному (unsigned long), а затем добавляет статическое значение, что приводит к переполнению и выделению слишком маленького буфера в хипе. Затем код записывает до 6 знаковых длинных целых чисел (signed long), выходя за границы этого буфера. Это может привести к выполнению произвольного кода». Вероятно, Facebook использует FreeType в какой-то форме, но неизвестно, были ли упомянутые атаки обнаружены в самой социальной сети или их выявили в другом месте. Никакой дополнительной информации об эксплуатации бага исследователи не приводят. Учитывая широкое распространение FreeType на различных платформах, разработчикам и администраторам рекомендуется как можно скорее обновить FreeType до новейшей версии 2.13.3. * Запрещена в России. Принадлежит компании Meta, которая признана экстремистской и запрещена на территории РФ.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: