FreeType の脆弱性によりフォント処理時にコード実行が可能に

FreeType フォント レンダリング ライブラリに脆弱性 (CVE-2025-27363) が見つかりました。この脆弱性により、特別に細工された可変フォントまたは TrueType GX フォント ファイルを処理する際にコードが実行される可能性がある可能性があります。この問題は、FreeType リリース 2.13.0 までのみ影響し、2.13.1 (2023 年 XNUMX 月) で修正されています。この脆弱性は以前にも攻撃を実行するために使用されたことがあると考えられています。

この脆弱性は、フォント内のサブグリフ構造を解析するときに発生するバッファ オーバーフローによって発生します。オーバーフローは、バッファ サイズの計算に関係する signed short 変数を unsigned long 値に割り当てることによって発生し、整数オーバーフローが発生し、無効なバッファ サイズが割り当てられる可能性があります。その後、このバッファの制限を超えて、少なくとも 6 つの「long」型の符号付き整数が書き込まれます。

配布版の更新情報は、以下のページで確認できます。 Debian, UbuntuRHEL、SUSE/openSUSE、Fedora、Arch、FreeBSD。使用されているバージョンの統計から判断すると、Amazonのディストリビューションには脆弱なバージョンのFreeTypeが含まれている。 Linux 2, Debian 安定版 / Devuan、RHEL 8 および 9 (+ CentOS Stream および派生版)、GNU Guix、Mageia、OpenMandriva、openSUSE Leap、Slackware および Ubuntu 22.04.

出所: オープンネット.ru

DDoS 保護機能を備えた信頼性の高いサイト用ホスティング、VPS VDS サーバーを購入する 🔥 DDoS攻撃対策付きの信頼性の高いウェブサイトホスティング、VPS/VDSサーバーを購入しましょう | ProHoster