基本信息
漏洞编号: CVE-2025-27363
危险等级: 高危
影响版本: FreeType <= 2.13.0
受影响组件: FreeType
验证状态: 未验证
修复状态: 官方已发布修复版本
漏洞详情
FreeType 中存在越界写入漏洞。当尝试解析与 TrueType GX 和可变字体文件相关的字体子字形结构时,漏洞代码将一个有符号短整型值赋给无符号长整型,并添加静态值,导致堆缓冲区分配过小。随后,代码会相对于缓冲区越界写入多达 6 个有符号长整型数据。 攻击者可利用该漏洞上传恶意字体文件,触发任意代码执行或拒绝服务攻击。此漏洞已被公开,建议尽快进行修复。
影响范围
影响版本
FreeType <= 2.13.0
受影响的产品
- FreeType 版本 2.13.0 及以下
验证方法
- 确认版本是否在 2.13.0 或以下。
修复方案
方案一:版本升级 (推荐)
请访问 FreeType 官方网站,下载最新版本补丁,升级至 2.13.1 或更高版本。
方案二:临时缓解措施
限制对 FreeType 的访问,减少潜在攻击面,并监控系统日志以检测异常活动。