FreeType - CVE-2025-27363

Date de publication :

Date de mise à jour :

Un défaut de gestion de la mémoire dans les fichiers de polices TrueType GX de FreeType permet à un attaquant non authentifié d’exécuter du code arbitraire.

Informations

La faille est activement exploitée : Oui

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire

Exploitation

La vulnérabilité exploitée est du type
CWE-787: Out-of-bounds Write

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau
•    Complexité de l'attaque : Élevée
•    Privilèges nécessaires pour réaliser l'attaque : Aucun
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

FreeType :

Version 2.13.0 et versions antérieures

Google Android :

Versions antérieures au correctif de mai 2025

IBM :

Plugin IBM Storage Virtualize vSphere Remote versions 1.0.0.0, 1.1.0.0, 1.1.1.0, 1.1.1.1, 1.2.0.0, 1.3.0.0, 2.0.0.0 et 2.0.0.1

Solutions ou recommandations

Mettre à jour FreeType vers la dernière version disponible.

Appliquer les correctifs de sécurité d’Android de mai 2025.

Mettre à niveau le plugin IBM Storage Virtualize vSphere Remote vers la version 2.0.0.2 ou ultérieure.

Des informations complémentaires sont disponibles dans les bulletins de FreeType, de Google et d'IBM.