(https://i.imgur.com/JWy6n7d.png)
Facebook ha revelado una vulnerabilidad en FreeType, la popular biblioteca de representación de fuentes utilizada en Linux, Android, motores de juegos y plataformas en línea. La falla, identificada como CVE-2025-27363, afecta a todas las versiones hasta la 2.13 y ha sido explotada en ataques reales, lo que representa un riesgo alto de seguridad.
¿Qué es FreeType y por qué es importante?FreeType es una biblioteca de código abierto empleada para cargar, rasterizar y mostrar fuentes en múltiples formatos, como TrueType (TTF) y OpenType (OTF). Su amplia adopción la hace un objetivo atractivo para los ciberdelincuentes, ya que se encuentra en millones de sistemas y aplicaciones.
Detalles de la vulnerabilidad- CVE-2025-27363 tiene una puntuación de gravedad CVSS v3 de 8.1 (alta).
- Error de escritura fuera de límites en versiones 2.13.0 e inferiores al analizar subglifos de fuentes TrueType GX.
- Puede llevar a la asignación de un búfer de memoria insuficiente, permitiendo la ejecución de código arbitrario.
¿Cómo mitigar el riesgo?La vulnerabilidad fue corregida en FreeType 2.13.0 el 9 de febrero de 2023, pero la última versión disponible es FreeType 2.13.3. Se recomienda actualizar de inmediato, ya que versiones antiguas pueden seguir presentes en software desactualizado, aumentando la exposición a ataques.
Facebook y la seguridad del código abiertoFacebook, al detectar la vulnerabilidad, alertó sobre su explotación activa y destacó su compromiso con la seguridad en línea. Meta confirmó a BleepingComputer que su equipo de seguridad reporta fallas en software de código abierto para mejorar la protección global.
En fin dado el impacto de FreeType en múltiples plataformas, desarrolladores y administradores de sistemas deben actualizar a FreeType 2.13.3 cuanto antes. Mantener el software al día es clave para evitar ataques y garantizar la seguridad en entornos digitales.
Fuente: https://www.bleepingcomputer.com/