Upozorenje o ranjivosti u FreeType: Smrtonosni ispis
Facebook je izdao upozorenje o ozbiljnoj ranjivosti u softwareu FreeType, koja bi mogla omogućiti napadačima daljinsko izvođenje proizvoljnog koda (RCE). Ova ranjivost, označena kao CVE-2025-27363, dobila je visoku ocjenu ozbiljnosti od 8.1. Prema informacijama iz sigurnosnog savjeta koji je objavila kompanija, ranjivost se može smatrati iskorištenom u stvarnom svijetu.
Što je FreeType i zašto je važan?
FreeType je biblioteka otvorenog koda koja se koristi za prikazivanje fontova. Podržava razne formate, uključujući TrueType, OpenType i Type1. Ovaj software našao je primjenu u:
- Grafičkim aplikacijama
- Igračkim motorima
- Operativnim sustavima
Projekti poput Android, Linux, Unreal Engine i ChromeOS oslanjaju se na FreeType za rendering visokokvalitetnog teksta, zbog čega je ova ranjivost posebno alarmantna.
Kako ranjivost djeluje?
Prema objašnjenju Facebooka, ranjivost se može aktivirati prilikom pokušaja analize struktura subglyph fonta vezanih uz TrueType GX i varijantne font datoteke. Konkretno, ranjivi kod dodjeljuje potpisanu kratku vrijednost nesigurnom dugom, a zatim dodaje statičku vrijednost koja uzrokuje preklapanje i alocira premali bafer. Kao rezultat toga, kod pokušava zapisivati do 6 potpisanih dugih cijelih brojeva izvan ograničenja tog bafera.
Je li FreeType korišten od strane Facebooka?
Iako je Facebook dao alarmantno upozorenje, nije jasno u kojoj mjeri oni koriste ovu biblioteku. Također, naveli su da je potencijalna ranjivost “možda iskorištena u stvarnom svijetu”, ali nisu pružili detalje o napadima na svojoj platformi ili negdje drugdje.
Što poduzeti?
Za razvijače softvera ključno je odmah nadograditi svoja izdanja FreeType-a na najnoviju verziju (2.13.3). Prvo sigurno izdanje je 2.13.1, iako web stranica FreeType-a ne spominje ništa o ovoj sigurnosnoj nadogradnji. Prema informacijama dostupnim na stranici ažuriranja, “ovo je održavanje s samo manjim promjenama”.
Završna misao
S obzirom na visoku ozbiljnost ove ranjivosti, preporučujemo svim programerima da odmah poduzmu mjere zaštite i osiguraju ažuriranje sustava. U svijetu gdje su cyber napadi sve prisutniji, pravovremeno reagiranje može značiti razliku između sigurnosti i ugroženosti podataka.