Facebook avertit qu’une vulnérabilité FreeType dans toutes les versions jusqu’à 2.13 peut entraîner l’exécution de code arbitraire, avec des rapports selon lesquels la faille a été exploitée dans des attaques.
FreeType est une bibliothèque de rendu de polices open source populaire utilisée pour afficher du texte et ajouter du texte par programme aux images. Il fournit des fonctionnalités pour charger, pixelliser et afficher des polices dans divers formats,tels que TrueType (TTF), OpenType (OTF), etc.
La bibliothèque est installée dans des millions de systèmes et de services, y compris Linux, Android, les moteurs de jeu, les frameworks d’interface graphique et les plateformes en ligne.
La vulnérabilité, suivie sous CVE-2025-27363 et dotée d’un score de gravité CVSS v3 de 8,1 (« élevé »), a été corrigée dans FreeType version 2.13.0 le 9 février 2023.
Facebook a révélé la faille hier, avertissant que la vulnérabilité est exploitable dans toutes les versions de FreeType jusqu’à la version 2.13 et qu’il y a des rapports selon lesquels elle est activement exploitée dans des attaques.
« Une écriture hors limites existe dans les versions FreeType 2.13.0 et inférieures lors de la tentative d’analyse des structures de sous-glyphes de polices liées à TrueType GX et aux fichiers de polices variables », lit-on dans le bulletin.
« Le code vulnérable attribue une valeur courte signée à une valeur longue non signée, puis ajoute une valeur statique, ce qui la fait s’enrouler et allouer un tampon de tas trop petit. »
« Le code écrit ensuite jusqu’à 6 entiers longs signés hors limites par rapport à ce tampon. Cela peut entraîner l’exécution de code arbitraire. »
Facebook peut s’appuyer sur FreeType dans une certaine mesure, mais il n’est pas clair si les attaques observées par son équipe de sécurité ont eu lieu sur sa plate-forme ou si elles les ont découvertes ailleurs.
Compte tenu de l’utilisation généralisée de FreeType sur plusieurs plates-formes, les développeurs de logiciels et les administrateurs de projet doivent passer à FreeType 2.13.3 (dernière version) dès que possible.
Bien que la dernière version vulnérable (2.13.0) date de deux ans, les anciennes versions de bibliothèque peuvent persister dans les projets logiciels pendant de longues périodes, il est donc important de corriger la faille dès que possible.
Breachtrace a interrogé Meta sur la faille et comment elle a été exploitée, et a reçu la déclaration suivante.
« Nous signalons des bogues de sécurité dans les logiciels open source lorsque nous les trouvons, car cela renforce la sécurité en ligne pour tout le monde », a déclaré Facebook à Breachtrace .
« Nous pensons que les utilisateurs s’attendent à ce que nous continuions à travailler sur des moyens d’améliorer la sécurité. Nous restons vigilants et déterminés à protéger les communications privées des personnes. »