Facebook发现FreeType高危漏洞影响全球系统

近日，有科技爱好者提供的线索显示，Facebook旗下的安全研究团队发现了一款广泛使用的开源字体渲染库FreeType存在高危安全漏洞。该漏洞存在于FreeType 2.13.0版本之前的版本中，漏洞编号为CVE-2025-27363，其严重性评分为8.1/10，属于高风险等级。

FreeType是一款开源的字体渲染库，能够将字符转换为位图形式进行显示。这款渲染库在众多操作系统和软件中被广泛应用，例如Android、macOS等主流系统以及各类游戏引擎均依赖于FreeType来实现字体渲染功能。

具体来看，这一漏洞出现在FreeType处理TrueType GX和可变字体文件中的字体子字形结构时。由于代码逻辑中的不当操作，一个有符号短整型数值被赋值给无符号长整型变量，并在后续计算中叠加了固定数值，导致数值回绕现象发生。这种错误使得分配的堆缓冲区尺寸过小，最终可能引发多达6个有符号长整型数值的越界写入。攻击者利用这一漏洞，可能实现任意代码执行，从而对受影响的系统造成严重威胁。

该漏洞已于2023年2月9日在FreeType 2.13.0版本中得到修复。然而，考虑到目前仍有大量用户继续使用旧版本的操作系统或软件，且不排除已有黑客尝试利用此漏洞展开攻击的可能性，Facebook的安全研究团队建议所有受影响的用户尽快将系统或单独安装的FreeType升级至最新版本，以消除潜在的安全隐患。