Facebook poinformował o luce w bibliotece FreeType. To wydajny silnik, pozwalający na renderowanie fontów i różne operacje na nich. Jest używany przez wiele aplikacji do wyświetlania tekstu na ekranie i dodawania tekstu do obrazków. Z biblioteki tej korzystają aplikacje niemal na wszystkich platformach, od Androida i Windowsa przez iOS i macOS po gry na PlayStation.
Facebook odkrył lukę bezpieczeństwa
Facebook poinformował, że luka w bibliotece FreeType jest obecna we wszystkich wersjach starszych od 2.13.0, wydanej 9 lutego 2023 roku. To wcale nie oznacza, że załatana biblioteka jest używana w najnowszych wersjach aplikacji mobilnych i programów na komputery. Co więcej, Facebook znalazł dowody na to, że luka była wykorzystywana do ataków na urządzenia nieświadomych ofiar. Firma nie mówi wprost, czy atakowane były aplikacje Facebooka bądź inne produkty Meta, ale można założyć, że miało to miejsce. Sprawa jest więc poważna.
Problem w tym, że jeśli aplikacja została zbudowana ze starszą wersją biblioteki, deweloperzy często nie widzą powodu, by to zmieniać. Aktualizują własny kod, ale jeśli zastosowany już komponent z zewnątrz – na przykład ogólnodostępny FreeType – wciąż działa wystarczająco dobrze, nie jest aktualizowany. Co więcej, czasami programiści obawiają się takich aktualizacji, bo mogą przynieść dodatkowe problemy i błędy. Wolą zostać przy sprawdzonych rozwiązaniach, by nie dokładać sobie roboty.
To oznacza, że dziurawa wersja FreeType może być używana przez aplikacje jeszcze przez całe lata. Miejmy jednak nadzieję, że tak się nie stanie. Dla użytkowników zaś oznacza to potrzebę aktualizowania aplikacji na bieżąco.
Czytaj też: Masz router Netgear? To masz ważną rzecz do zrobienia
Czym grozi luka w biblitece FreeType?
Luka, o której mowa, została udokumentowana jako CVE-2025-27363 (ocena ryzyka 8,3, czyli poważne). Cyberprzestępcy wiedzą o niej. Przygotowali narzędzia, które ją wykorzystują do wprowadzenia i uruchomienia szkodliwego kodu na urządzeniach ofiar.
By przeprowadzić atak potrzebny jest plik z fontem w standardzie TrueType GX. Dziś jest już uważany za przestarzały, ale swojego czasu zrobił rewolucję, wprowadzając między innymi ligatury (estetyczne łączenie dwóch znaków w jeden) i symbole matematyczne. Przy przetwarzaniu struktur danych związanych z glifami silnik błędnie przypisuje wartości zmiennych, aż w końcu wychodzi poza dostępny bufor pamięci. Można powiedzieć, że wydostał się poza ogrodzenie. To otwiera drogę do umieszczenia tam szkodliwego kodu, który zostanie wywołany przez atakowany system operacyjny.
