Meta a averti qu’une vulnérabilité de sécurité impactant le Freetype La bibliothèque de rendu de police open source peut avoir été exploitée dans la nature.
La vulnérabilité a été attribuée à l’identifiant CVE CVE-2025-27363et porte un score CVSS de 8,1, indiquant une forte gravité. Décrit comme un défaut d’écriture hors limites, il pourrait être exploité pour réaliser une exécution de code distante lors de l’analyse de certains fichiers de police.
“Une écriture hors limites existe dans les versions Freetype 2.13.0 et ci-dessous lors de la tentative de sous-glyphes de polices d’analyse liées aux fichiers de police TRUETYPE GX et variable”, la société dit dans un avis.
“Le code vulnérable attribue une valeur courte signée à un long non signé, puis ajoute une valeur statique, ce qui le fait enrouler et alloué trop petit d’un tampon de tas. Le code écrit ensuite jusqu’à 6 entiers longs signés hors des limites par rapport à ce tampon. Cela peut entraîner une exécution de code arbitraire.”
La société n’a partagé aucun détail sur la façon dont la lacune est exploitée, qui est derrière elle et l’échelle des attaques. Cependant, il a reconnu que le bug “avait peut-être été exploité dans la nature”.
Lorsqu’il a été contacté pour commenter, le développeur de Freetype, Werner Lemberg, a déclaré au Hacker News qu’un correctif pour la vulnérabilité était incorporé depuis près de deux ans. “Les versions Freetype supérieures à 2,13.0 ne sont plus affectées”, a déclaré Lemberg.
Dans un message séparé Publié sur la liste de diffusion de sécurité open source OSS-Sécurité, il est devenu que plusieurs distributions Linux exécutent une version obsolète de la bibliothèque, les rendant ainsi sensibles au défaut. Cela inclut –
- Almalinux
- Alpine Linux
- Amazon Linux 2
- Debian stable / Devuan
- RHEL / CENTOS Stream / Alma Linux / etc. 8 et 9
- GNU Guix
- Mageia
- OpenMandriva
- Opensuse Leap
- Slackware, et
- Ubuntu 22.04
À la lumière de l’exploitation active, les utilisateurs sont recommandés pour mettre à jour leurs instances vers la dernière version de Freetype (2.13.3) pour une protection optimale.


