La vulnérabilité s’est vu attribuer l’identifiant CVE-2025-27363CVE-2020-25-27363, et porte un score CVSS de 8,1, indiquant une gravité élevée. Décrit comme une faille d’écriture hors limites, il pourrait être exploité pour réaliser l’exécution de code à distance lors de l’analyse de certains fichiers de polices.
« Une écriture hors limites existe dans les versions 2.13.0 et inférieures de FreeType lorsqu’il tente d’analyser des structures de sous-rières liées à TrueType GX et des fichiers de polices variables », a déclaré la société dans un conseil.
« Le code vulnérable attribue une valeur courte signée à un long non signé, puis ajoute une valeur statique qui l’amène à s’enrouler et à allouer trop petit d’un tampon en tas. Le code écrit alors jusqu’à 6 entiers longs signés hors limites par rapport à ce buffer. Cela peut entraîner l’exécution arbitraire du code. »
La société n’a pas partagé de détails sur la manière dont l’insuffisance est exploitée, qui est derrière elle, et l’ampleur des attaques. Cependant, il a reconnu que le bogue « pourrait avoir été exploité à l’état sauvage ».
Lorsqu’il a été contacté pour commenter, Werner Lemberg, développeur de FreeType, a déclaré à The Hacker News qu’une solution pour la vulnérabilité est incorporée depuis près de deux ans. « Les versions de FreeType plus grandes que le 2.13.0 ne sont plus affectées », a déclaré Lemberg.
Dans un message séparé posté sur la liste de diffusion de l’Open Source Security oss-security, il est apparu que plusieurs distributions Linux utilisent une version obsolète de la bibliothèque, les rendant ainsi sensibles à la faille. Il s’agit notamment de:
- AlmaLinux
- Linux alpin
- Amazon Linux 2
- Étable Debian / Devuan
- RHEL / CentOS Stream / Alma Linux / etc. 8 et 9
- GNU Guix
- Mageia
- OpenMandriva
- Saut ouvertSUSE
- Slackware, et
- Ubuntu 22.04
À la lumière de l’exploitation active, il est recommandé aux utilisateurs de mettre à jour leurs instances en rapport avec la dernière version de FreeType (2.13.3) pour une protection optimale.
