Linux, Android y motores de juegos amenazados: actualice FreeType

Facebook advierte sobre una vulnerabilidad en la biblioteca FreeType, que afecta a todas las versiones hasta la 2.13 y puede llevar a la ejecución de código arbitrario. Se informa que esta vulnerabilidad ya está siendo utilizada en ataques reales.

FreeType es una biblioteca de código abierto ampliamente utilizada para el renderizado de fuentes. Se emplea en diversos sistemas y servicios, incluyendo Linux, Android, motores de juegos, interfaces gráficas y plataformas web. La biblioteca es compatible con los formatos TrueType (TTF), OpenType (OTF) y otros.

La vulnerabilidad, identificada como CVE-2025-27363, ha recibido una calificación de alta peligrosidad de 8.1 puntos en la escala CVSS v3. Fue corregida en la versión FreeType 2.13.0 del 9 de febrero de 2023. Sin embargo, Facebook informó sobre ella solo ayer, destacando que la vulnerabilidad está presente en todas las versiones de FreeType hasta la 2.13 y que ya está siendo explotada activamente por atacantes.

Según la información expuesta en el boletín, el problema está relacionado con un desbordamiento de búfer al procesar estructuras de subglifos en TrueType GX y fuentes variables. El error se produce debido a la asignación de un valor corto con signo a un valor largo sin signo, lo que provoca la asignación de un búfer demasiado pequeño y, como resultado, un desbordamiento de memoria. Como consecuencia, el programa puede escribir hasta seis valores largos con signo fuera de los límites del búfer asignado, lo que puede llevar a la ejecución de código arbitrario.

Facebook no especificó si esta vulnerabilidad se utilizó en ataques contra sus propios servicios o si se descubrió en otros entornos. Sin embargo, dado el amplio uso de FreeType, se recomienda encarecidamente a los desarrolladores de software y a los administradores de proyectos que actualicen la biblioteca de inmediato a la versión 2.13.3.