开源字体渲染库 FreeType 出现高危安全漏洞，可被黑客利用发起攻击

IT之家 3 月 14 日报道，Facebook 旗下的安全研究实验室最近披露，FreeType 在版本 2.13.0 及之前存在安全隐患，该漏洞被标记为 CVE-2025-27363，风险评级达到 8.1/10，属于高危漏洞。

IT之家补充说明：FreeType 是一个开源字体渲染库，能够将字符进行栅格化处理并转化为位图。多个操作系统，如Android、macOS，以及许多游戏引擎均采用此字体渲染库。

关于该漏洞的具体信息如下：

在 FreeType 2.13.0 及更早版本中，当处理 TrueType GX 和可变字体文件的字体子轮廓数据时，发现存在越界写入的风险。此问题涉及将有符号短整型值赋给无符号长整型变量，随后与静态值相加导致数值循环，导致分配的堆缓冲区过小。该漏洞能够使得在缓冲区外写入多达 6 个有符号长整型值，从而可能会引发任意代码的执行。

尽管该安全漏洞于 2023 年 2 月 9 日已在 FreeType 2.13.0 中得到修复，但是仍有许多用户使用着旧版软件或操作系统，也有可能存在黑客利用此漏洞进行攻击的情况。Facebook 建议所有用户及时将系统或FreeType单独升级至最新版本，以防范潜在的安全威胁。

广告声明：文中包含的外部链接（包括但不限于超链接、二维码、口令等方式），旨在提供更多信息，帮助节省筛选时间，结果仅供参考。