3 月 14 日消息，F(xiàn)acebook 旗下的安全研究實(shí)驗(yàn)室日前透露，FreeType 在 2.13.0 以前的版本中存在安全漏洞，該漏洞代號(hào)為 CVE-2025-27363，漏洞評(píng)分為 8.1/10 分，評(píng)級(jí)為高風(fēng)險(xiǎn)。

FreeType 是一款開(kāi)源的字體渲染庫(kù)，該渲染庫(kù)可以將字符柵格化并映射成位圖。Android、macOS 等操作系統(tǒng)及各種游戲引擎都有應(yīng)用該字體渲染庫(kù)。

該漏洞的詳情如下：

FreeType 2.13.0 及以下版本在解析 TrueType GX 和可變字體文件的字體子字形結(jié)構(gòu)時(shí)存在越界寫(xiě)入漏洞。問(wèn)題代碼將有符號(hào)短整型數(shù)值賦給無(wú)符號(hào)長(zhǎng)整型變量，隨后疊加靜態(tài)值導(dǎo)致數(shù)值回繞，進(jìn)而分配過(guò)小的堆緩沖區(qū)。該漏洞允許在緩沖區(qū)外寫(xiě)入多達(dá) 6 個(gè)有符號(hào)長(zhǎng)整型數(shù)值，可能引發(fā)任意代碼執(zhí)行。

雖然該漏洞已于 2023 年 2 月 9 日在 FreeType 2.13.0 中被修復(fù)，但鑒于目前仍有很多用戶在使用舊版本的操作系統(tǒng)或軟件，同時(shí)可能有黑客已經(jīng)在利用該漏洞展開(kāi)攻擊，F(xiàn)acebook 建議所有用戶將他們的系統(tǒng)或?qū)?FreeType 單獨(dú)更新到最新版本以避免可能的安全風(fēng)險(xiǎn)。