![[Link esterno] Sito internet - Provincia autonoma di Bolzano - Alto Adige](/css/img/APBZ_Logo_Website_DE_IT_LAD.svg){kind=logo}
Meta avverte della vulnerabilità di FreeType (CVE-2025-27363) con rischio di sfruttamento attivo
vulnerabilità
Meta ha avvertito che una vulnerabilità di sicurezza che colpisce la libreria di rendering di font open-source FreeType potrebbe essere stata sfruttata in modo selvaggio.
Alla vulnerabilità è stato assegnato l'identificativo CVE-2025-27363, con un punteggio CVSS di 8.1, che indica un'elevata gravità. Descritta come una falla di scrittura fuori dai limiti, potrebbe essere sfruttata per ottenere l'esecuzione di codice remoto durante l'analisi di alcuni file di font.
“Nelle versioni di FreeType 2.13.0 e successive esiste una scrittura fuori dai limiti quando si tenta di analizzare le strutture subglifiche dei font relative ai file di font TrueType GX e variabili”, ha dichiarato la società in un avviso.
“Il codice vulnerabile assegna un valore breve firmato a un valore lungo non firmato e poi aggiunge un valore statico, causando l'avvolgimento e l'allocazione di un buffer heap troppo piccolo. Il codice scrive quindi fino a 6 interi firmati fuori dai limiti rispetto a questo buffer. Questo può portare all'esecuzione di codice arbitrario”.
L'azienda non ha fornito informazioni specifiche su come viene sfruttata la falla, su chi c'è dietro e sulla portata degli attacchi. Tuttavia, ha riconosciuto che il bug “potrebbe essere stato sfruttato in natura”.
Lo sviluppatore di FreeType Werner Lemberg, interpellato per un commento, ha dichiarato a The Hacker News che la correzione della vulnerabilità è stata incorporata da quasi due anni. “Le versioni di FreeType superiori alla 2.13.0 non sono più interessate”, ha dichiarato Lemberg.
In un messaggio separato pubblicato sulla mailing list oss-security di Open Source Security, è emerso che diverse distribuzioni Linux utilizzano una versione obsoleta della libreria, rendendole così suscettibili alla falla. Tra queste vi sono...
AlmaLinux
Alpine Linux
Amazon Linux 2
Debian stabile / Devuan
RHEL / CentOS Stream / Alma Linux / ecc. 8 e 9
GNU Guix
Mageia
OpenMandriva
openSUSE Leap
Slackware e
Ubuntu 22.04
Alla luce dello sfruttamento attivo, si raccomanda agli utenti di aggiornare le proprie istanze all'ultima versione di FreeType (2.13.3) per una protezione ottimale.
SOC
Altri comunicati stampa di questa categoria
- Nuova campagna ClickFix usa ingegneria sociale per diffondere malware tramite prompt ingannevoli (19/02/2026, 23:00)
- Microsoft corregge una vulnerabilità ad alta gravità in Windows Admin Center che consente l’elevazione di privilegi (19/02/2026, 23:00)
- Gruppo di cyber-spionaggio con supporto statale compromette reti governative e infrastrutture critiche in 37 Paesi (05/02/2026, 23:00)
![[external Link]: Dipartimento per la trasformazione digitale](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/89d3384e-8482-4aa1-8ae3-05b637cd88dc/dipartimento-transformazione-digitale.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: ACN](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/ac0e1861-4b7f-4ba1-85de-2e7e39b5372f/acn.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: Siag](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/dd32e81c-8456-4c46-803a-21a6983881c3/siag.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)