Meta警告FreeType字体库高危安全漏洞

关键要点

• Meta发现FreeType库中的高严重性安全漏洞，可能已被活跃利用。
• 漏洞编号为CVE-2025-27363，CVSS评分为8.1，属于越界写入漏洞。
• 攻击者可以通过操控特定字体文件实现远程代码执行。
• 受影响的FreeType版本为2.13.0及更早版本，建议用户尽快更新到2.13.3版本。
• 有关信息显示许多Linux发行版仍存在此漏洞。

Meta近期披露了一项高严重性的安全漏洞，存在于开源字体渲染库FreeType中，这一漏洞可能已经被一些威胁行为者积极利用。据的报道，相关漏洞的编号为CVE-2025-27363，CVSS评分为8.1，且被分类为越界写入漏洞。

攻击者可以通过操作某些字体文件，尤其是与TrueTypeGX和可变字体相关的文件来利用这一漏洞，实现远程代码执行。这一漏洞的根源在于错误的内存分配，可能使恶意行为者执行任意代码。

FreeType版本2.13.0及更早版本均存在此漏洞。尽管Meta并没有透露有关漏洞利用的具体范围或来源，但已敦促用户尽快将其实例更新至FreeType2.13.3，以降低被利用的风险。

FreeType的开发者Werner Lemberg表示，针对这一漏洞的补丁已经发布近两年，但许多Linux发行版仍然存在脆弱性。受影响的系统包括：

建议用户尽快更新，以提升系统的安全性，避免潜在攻击。