Meta-ov tim za bezbjednost na Facebooku podigao je uzbunu nakon što je primijećena aktivna eksploatacija zero-day ranjivosti u široko korišćenoj razvojnoj biblioteci FreeType.
U kratkom bezbjednosnom savjetu, Facebook je upozorio da je bezbjednosni propust pronađen u verzijama FreeType-a 2.13.0 i starijim, omogućavajući napadačima izvođenje napada putem proizvoljnog izvršavanja koda.
“Ova ranjivost je možda već iskorišćena u stvarnom okruženju”, navodi se u saopštenju Facebooka, bez dodatnih detalja o prijavljenim napadima. Greška je označena kao CVE-2025-27363 i nosi CVSS ocjenu ozbiljnosti od 8,1 od 10.
Kompletno saopštenje Facebooka:
“Out of bounds (van granica) upis postoji u verzijama FreeType-a 2.13.0 i starijim prilikom pokušaja parsiranja struktura podglifova u TrueType GX i varijabilnim font fajlovima.
Ranjiivi kod dodjeljuje potpisanu short vrijednost u nepoptisanu long varijablu, a zatim dodaje statičku vrijednost, što dovodi do preklapanja i alokacije premalog bafera na heap-u. Nakon toga, kod upisuje do šest potpisanih long integera van granica ovog bafera. To može rezultirati proizvoljnim izvršavanjem koda.”
Pogođeni su sistemi koji koriste starije verzije FreeType-a, uključujući one koje dolaze u paketu sa određenim starijim Linux distribucijama. Iako najnovija verzija, FreeType 2.13.3, nije ranjiva, mnogi aktuelni sistemi i dalje su izloženi riziku.
Organizacijama se savjetuje da ažuriraju FreeType na verziju 2.13.3 ili noviju i da prate sisteme zbog znakova sumnjivih aktivnosti.
Ovo nije prvi put da je open-source rendererski mehanizam meta malicioznih napada. Još 2020. godine, Google je objavio veliko ažuriranje Chrome pretraživača kako bi zaštitio korisnike od tada aktivnog FreeType zero-day napada. Takođe, FreeType zero-day ranjivosti su bile među onima koje je koristila visoko profilisana APT (Advanced Persistent Threat) grupa.
Izvor: SecurityWeek