13 Marzo 2025 14:17    Alert

FreeType: rilevato sfruttamento in rete della CVE-2025-27363

Dettagli della vulnerabilità

La CVE-2025-27363 è una vulnerabilità di tipo "out-of-bounds write" che colpisce le versioni di FreeType 2.13.0 e precedenti. La falla si manifesta quando la libreria tenta di analizzare le strutture dei sottoglifi relative ai file di font TrueType GX e font variabili.

Il problema tecnico consiste nell'assegnazione di un valore short con segno a un unsigned long, seguito dall'aggiunta di un valore statico che causa un overflow e l'allocazione di un buffer heap troppo piccolo. Di conseguenza, il codice scrive fino a 6 interi long con segno oltre i limiti di questo buffer, potenzialmente consentendo l'esecuzione di codice arbitrario.


Impatto e gravità

La vulnerabilità ha ricevuto un punteggio CVSS di 8.1 (Alto) ed è considerata particolarmente critica per diversi motivi:

  • È attivamente sfruttata in attacchi reali, come confermato da Meta (Facebook)
  • FreeType è una libreria di rendering dei font ampiamente utilizzata, installata su miliardi di dispositivi
  • L'exploit può portare all'esecuzione di codice arbitrario da parte di attaccanti remoti non autenticati

Sistemi colpiti

FreeType è utilizzato in numerosi sistemi operativi e piattaforme, tra cui:

  •     GNU/Linux e derivati Unix come FreeBSD o NetBSD
  •     Android, iOS, Tizen e Roku
  •     ChromeOS
  •     ReactOS
  •     Motori di browser web come Chromium, WebKit, Gecko e Goanna
  •     Ghostscript, utilizzato in molte stampanti

Numerose distribuzioni Linux sono vulnerabili, tra cui:

  •     AlmaLinux
  •     Alpine Linux
  •     Amazon Linux 2
  •     Debian stable / Devuan
  •     RHEL / CentOS Stream / Alma Linux 8 e 9
  •     GNU Guix
  •     Mageia
  •     OpenMandriva
  •     openSUSE Leap
  •     Slackware
  •     Ubuntu 22.04
  • SUSE ha inoltre confermato che molte versioni di SUSE Linux Enterprise Server sono vulnerabili.

Soluzione

La vulnerabilità è stata risolta nella versione 2.13.0 di FreeType, rilasciata il 9 febbraio 2023, ma è importante notare che molti sistemi continuano a utilizzare versioni vulnerabili della libreria. Gli esperti raccomandano di aggiornare immediatamente alla versione 2.13.3 di FreeType (l'ultima disponibile) per una protezione ottimale.

 

Fonti: ACN, TheHackerNews, SUSE