{"id":1619570,"date":"2025-03-13T08:50:52","date_gmt":"2025-03-13T08:50:52","guid":{"rendered":"https:\/\/teknomers.com\/es\/meta-advierte-sobre-la-vulnerabilidad-de-la-fria-cve-2025-27363-con-riesgo-de-explotacion-activa\/"},"modified":"2025-03-13T08:50:57","modified_gmt":"2025-03-13T08:50:57","slug":"meta-advierte-sobre-la-vulnerabilidad-de-la-fria-cve-2025-27363-con-riesgo-de-explotacion-activa","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/meta-advierte-sobre-la-vulnerabilidad-de-la-fria-cve-2025-27363-con-riesgo-de-explotacion-activa\/","title":{"rendered":"Meta advierte sobre la vulnerabilidad de la fr\u00eda (CVE-2025-27363) con riesgo de explotaci\u00f3n activa"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>13 de marzo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>C\u00f3digo abierto \/ vulnerabilidad<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Meta ha advertido que una vulnerabilidad de seguridad que impacta el Tipo de freeet<\/a> La biblioteca de renderizado de fuentes de c\u00f3digo abierto puede haber sido explotada en la naturaleza.<\/p>\n

A la vulnerabilidad se le ha asignado el identificador CVE CVE-2025-27363<\/strong><\/a>y lleva una puntuaci\u00f3n CVSS de 8.1, lo que indica alta gravedad. Descrito como una falla de escritura fuera de los l\u00edmites, podr\u00eda explotarse para lograr la ejecuci\u00f3n de c\u00f3digo remoto al analizar ciertos archivos de fuentes.<\/p>\n

“Se existe una escritura fuera de los l\u00edmites en las versiones de FreeType 2.13.0 y abajo cuando intenta analizar las estructuras del subglyfo de fuentes relacionadas con TrueType GX y archivos de fuentes variables”, la compa\u00f1\u00eda dicho<\/a> en un aviso.<\/p>\n

“El c\u00f3digo vulnerable asigna un valor corto firmado a un largo sin firmar y luego agrega un valor est\u00e1tico, lo que hace que envuelva y asigne un b\u00fafer de mont\u00f3n demasiado peque\u00f1o. El c\u00f3digo luego escribe hasta 6 enteros largos firmados de los l\u00edmites en relaci\u00f3n con este b\u00fafer. Esto puede resultar en una ejecuci\u00f3n de c\u00f3digo arbitraria”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La compa\u00f1\u00eda no comparti\u00f3 ning\u00fan detalle sobre c\u00f3mo se est\u00e1 explotando la deficiencia, qui\u00e9n est\u00e1 detr\u00e1s de ella y la escala de los ataques. Sin embargo, reconoci\u00f3 que el error “puede haber sido explotado en la naturaleza”.<\/p>\n

Cuando se le contact\u00f3 para hacer comentarios, el desarrollador de FreeType, Werner Lemberg, dijo a The Hacker News que una soluci\u00f3n para la vulnerabilidad se ha incorporado durante casi dos a\u00f1os. “Las versiones de Tipo de FreeTy m\u00e1s de 2.13.0 ya no se ven afectadas”, dijo Lemberg.<\/p>\n

En mensaje separado<\/a> Publicado en la lista de correos de seguridad de c\u00f3digo abierto, ha salido a la luz que varias distribuciones de Linux est\u00e1n ejecutando una versi\u00f3n obsoleta de la biblioteca, lo que las hace susceptibles a la falla. Esto incluye –<\/p>\n