3 月 14 日消息，F(xiàn)acebook 旗下的安全研究實驗室日前透露，FreeType 在 2.13.0 以前的版本中存在安全漏洞，該漏洞代號為 CVE-2025-27363，漏洞評分為 8.1/10 分，評級為高風險。

FreeType 是一款開源的字體渲染庫，該渲染庫可以將字符柵格化并映射成位圖。Android、macOS 等操作系統(tǒng)及各種游戲引擎都有應(yīng)用該字體渲染庫。

該漏洞的詳情如下：

FreeType 2.13.0 及以下版本在解析 TrueType GX 和可變字體文件的字體子字形結(jié)構(gòu)時存在越界寫入漏洞。問題代碼將有符號短整型數(shù)值賦給無符號長整型變量，隨后疊加靜態(tài)值導(dǎo)致數(shù)值回繞，進而分配過小的堆緩沖區(qū)。該漏洞允許在緩沖區(qū)外寫入多達 6 個有符號長整型數(shù)值，可能引發(fā)任意代碼執(zhí)行。

雖然該漏洞已于 2023 年 2 月 9 日在 FreeType 2.13.0 中被修復(fù)，但鑒于目前仍有很多用戶在使用舊版本的操作系統(tǒng)或軟件，同時可能有黑客已經(jīng)在利用該漏洞展開攻擊，F(xiàn)acebook 建議所有用戶將他們的系統(tǒng)或?qū)?FreeType 單獨更新到最新版本以避免可能的安全風險。