Facebook ha recentemente rivelato una vulnerabilità critica nella libreria FreeType 2, identificata come CVE-2025-27363, che permette l’esecuzione arbitraria di codice ed è stata attivamente sfruttata in attacchi informatici.
FreeType è una libreria open-source utilizzata per il rendering dei font in vari formati, come TrueType (TTF) e OpenType (OTF), ed è presente in milioni di dispositivi, tra cui sistemi Linux, Android, motori di gioco, framework GUI e piattaforme online.
La falla di sicurezza è stata corretta in FreeType 2.13.0 il 9 febbraio 2023, ma Facebook ha avvisato che tutte le versioni precedenti sono vulnerabili e che l’exploit è già in corso.
Dettagli della vulnerabilità e metodo di attacco
La falla in FreeType si basa su un out-of-bounds write che si verifica quando si analizzano le strutture dei sotto-glifi nei font TrueType GX e variabili. Il codice vulnerabile assegna un valore signed short a una variabile unsigned long, causando un overflow e portando all’allocazione di un buffer di memoria troppo piccolo.
Questo errore permette di scrivere fino a sei interi long con segno fuori dai limiti del buffer, aprendo la porta a un possibile remote code execution (RCE).
Facebook non ha specificato se gli attacchi rilevati abbiano avuto luogo direttamente sulla propria piattaforma o se siano stati individuati in ambienti esterni. Tuttavia, data la diffusione massiccia di FreeType, la vulnerabilità rappresenta un rischio significativo per numerosi servizi e dispositivi.
Impatto globale e necessità di aggiornamento immediato
Sebbene FreeType 2.13.0 sia stato rilasciato due anni fa, molte versioni precedenti della libreria potrebbero essere ancora utilizzate in progetti software non aggiornati. Questo fenomeno è già stato osservato in altre vulnerabilità critiche, come Log4Shell, in cui il codice vulnerabile è rimasto in uso per anni.
Gli sviluppatori e gli amministratori di sistema sono fortemente invitati ad aggiornare FreeType alla versione 2.13.3, l’ultima rilasciata, per mitigare i rischi legati all’exploit.
Dichiarazione di Facebook e misure di sicurezza
Meta ha dichiarato di segnalare le vulnerabilità nel software open-source come parte del suo impegno per migliorare la sicurezza online globale. Il team di sicurezza dell’azienda ha sottolineato che l’identificazione e la divulgazione di queste falle sono essenziali per proteggere le comunicazioni private degli utenti e rafforzare le difese digitali.
Per mitigare il rischio legato alla vulnerabilità FreeType 2, le organizzazioni devono:
- Verificare l’uso di FreeType all’interno delle proprie infrastrutture e aggiornare immediatamente alla versione 2.13.3.
- Effettuare scansioni di sicurezza sui propri sistemi per individuare eventuali componenti vulnerabili.
- Applicare filtri di sicurezza avanzati per bloccare eventuali payload che sfruttano l’exploit.
- Monitorare le comunicazioni di rete per attività sospette legate all’uso anomalo della libreria FreeType.
La vulnerabilità CVE-2025-27363 in FreeType 2 rappresenta un rischio elevato per numerosi sistemi e servizi. La presenza di exploit attivi e la diffusione globale della libreria rendono urgente l’adozione di misure di sicurezza per proteggere le infrastrutture informatiche.