CVE-2025-27363

FreeType FreeType

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-05-06

Официальное описание

FreeType contains an out-of-bounds write vulnerability when attempting to parse font subglyph structures related to TrueType GX and variable font files that may allow for arbitrary code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-27363 представляет собой критическую уязвимость типа Out-of-bounds Write (запись за пределами границ буфера) в библиотеке FreeType. Проблема возникает в компоненте парсинга структур subglyph (подглифов) при обработке шрифтов форматов TrueType GX и вариативных шрифтов (Variable Fonts).

При попытке интерпретировать специально сформированный файл шрифта, механизмы обработки смещений и индексов подглифов допускают запись данных в неавторизованные области памяти. Это может привести к повреждению памяти, аварийному завершению процесса или, в худшем случае, к удаленному выполнению произвольного кода (RCE) в контексте приложения, использующего FreeType (например, веб-браузера, офисного пакета или графического редактора).

Как исправить

Основным способом устранения является обновление библиотеки FreeType до версии, содержащей исправление (патч был внесен в upstream-репозиторий в начале 2025 года).

Для систем на базе Debian/Ubuntu:

sudo apt update && sudo apt install --only-upgrade libfreetype6

Для систем на базе RHEL/CentOS/Fedora:

sudo dnf update freetype

Для систем на базе Arch Linux:

sudo pacman -Syu freetype2

Для разработчиков (сборка из исходников): Необходимо загрузить последнюю версию с официального сайта или применить патч к файлу src/truetype/ttgload.c (или соответствующему модулю обработки GX-вариаций), после чего пересобрать библиотеку:

./configure
make
sudo make install

Временные меры

Если немедленное обновление библиотеки невозможно, рекомендуется принять следующие защитные меры:

  1. Ограничение типов файлов: Настройте политики безопасности приложений (например, браузеров или почтовых клиентов), чтобы запретить загрузку и рендеринг сторонних шрифтов (Web Fonts), особенно в форматах TrueType GX.

  2. Использование Sandbox: Запускайте приложения, обрабатывающие пользовательский контент (браузеры, просмотрщики PDF), в изолированных контейнерах или с использованием механизмов принудительного контроля доступа (AppArmor, SELinux), чтобы ограничить последствия возможной эксплуатации.

  3. Фильтрация на шлюзах: Если уязвимость затрагивает корпоративную сеть, настройте правила на уровне почтового шлюза или WAF для блокировки передачи файлов шрифтов с расширениями .ttf, .otf и .woff2 из недоверенных источников до момента завершения патч-менеджмента.

  4. Отключение поддержки вариативных шрифтов: В некоторых приложениях возможно программное отключение поддержки расширений GX/Variable Fonts через конфигурационные файлы или флаги компиляции, что нейтрализует вектор атаки.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей