Meta lancia l'allarme su una grave falla di sicurezza nel software open-source

Notizie
Di Pubblicato

La vulnerabilità in FreeType potrebbe consentire l'esecuzione remota di codice: disponibile una patch, aggiornate subito.

Computer Hacked, System Error, Virus, Cyber attack, Malware Concept. Danger Symbol
(Immagine:: Shutterstock)
  • Facebook ha segnalato una vulnerabilità in FreeType che potrebbe consentire l'esecuzione di codice da remoto.
  • Il problema "potrebbe essere stato sfruttato", ha avvertito l'azienda.
  • Una patch è stata rilasciata per risolvere il difetto di sicurezza.

Facebook ha segnalato una vulnerabilità di scrittura fuori dai limiti in FreeType, che potrebbe consentire a malintenzionati di eseguire codice arbitrario da remoto. In un avviso di sicurezza, l’azienda ha dichiarato che il problema “potrebbe essere stato sfruttato attivamente”.

FreeType è una libreria open-source utilizzata per la gestione dei caratteri, supportando formati come TrueType, OpenType e Type1. È ampiamente integrata in applicazioni grafiche, motori di gioco e sistemi operativi per migliorare la resa del testo.

Progetti importanti come Android, Linux, Unreal Engine e ChromeOS si affidano a FreeType per il rendering dei font, rendendo questa vulnerabilità particolarmente rilevante.

Correzione del bug

La vulnerabilità, identificata come CVE-2025-27363, ha ricevuto un punteggio di gravità pari a 8.1 (alto) e riguarda le versioni 2.13.0 e precedenti della libreria FreeType.

Secondo Facebook, il problema si verifica durante l’analisi delle strutture dei sottoglifi dei font TrueType GX e dei file di font variabili. L’errore deriva dall’assegnazione errata di un valore signed short a una variabile unsigned long, che porta a un’allocazione errata della memoria. Di conseguenza, il codice può scrivere fino a sei valori signed long fuori dai limiti del buffer di memoria assegnato.

Non è chiaro se Facebook utilizzi direttamente FreeType e in quale misura. Inoltre, pur affermando che la vulnerabilità potrebbe essere stata sfruttata attivamente, la società non ha specificato se gli attacchi siano stati rilevati sulla propria piattaforma o altrove.

Per risolvere il problema, gli sviluppatori dovrebbero aggiornare FreeType alla versione 2.13.3 il prima possibile. La prima versione sicura è la 2.13.1, sebbene il sito ufficiale di FreeType non menzioni esplicitamente aggiornamenti di sicurezza, descrivendo l’update solo come una versione di manutenzione con cambiamenti minori.

Via BleepingComputer

Patrizio Coccia

Nato nel 1995 e cresciuto da due genitori nerd, non poteva che essere orientato fin dalla tenera età verso un mondo fatto di videogiochi e nuove tecnologie. Fin da piccolo ha sempre esplorato computer e gadget di ogni tipo, facendo crescere insieme a lui le sue passioni. Dopo aver completato gli studi, ha lavorato con diverse realtà editoriali, cercando sempre di trasmettere qualcosa in più oltre alla semplice informazione. Amante del cioccolato fondente, continua a esplorare nuove frontiere digitali, mantenendo sempre viva la sua curiosità e la sua dedizione al settore.