حذرت شركة Meta من وجود ثغرة أمنية في مكتبة FreeType مفتوحة المصدر الخاصة بعرض الخطوط، والتي قد تكون قد استُغلت بالفعل في الهجمات الإلكترونية.
تم تعيين معرف CVE-2025-27363 لهذه الثغرة، وحصلت على تقييم CVSS بقيمة 8.1، مما يشير إلى خطورتها العالية. وصفت الثغرة بأنها خروج عن الحدود في الكتابة (Out-of-Bounds Write)، ويمكن استغلالها لتنفيذ تعليمات برمجية عن بُعد عند تحليل ملفات خطوط معينة.
وقالت الشركة في بيانها: “توجد ثغرة خروج عن الحدود في الكتابة في إصدارات FreeType 2.13.0 وما دونها عند محاولة تحليل هياكل الخطوط الفرعية (Subglyph) المرتبطة بملفات الخطوط من نوع TrueType GX والخطوط المتغيرة (Variable Fonts).”
وأضافت: “يقوم الكود الضعيف بتعيين قيمة قصيرة ذات إشارة (Signed Short) إلى قيمة طويلة دون إشارة (Unsigned Long)، ثم يضيف قيمة ثابتة مما يؤدي إلى التفاف القيمة وتخصيص مساحة صغيرة جدًا في الذاكرة المؤقتة (Heap Buffer). بعد ذلك، يكتب الكود ما يصل إلى 6 أعداد صحيحة طويلة ذات إشارة خارج الحدود المسموح بها، مما قد يؤدي إلى تنفيذ تعليمات برمجية عشوائية.”
تفاصيل الثغرة
لم تقدم Meta تفاصيل محددة حول كيفية استغلال هذه الثغرة، أو الجهات التي تقف وراءها، أو نطاق الهجمات. ومع ذلك، أكدت أن الثغرة “قد تكون قد استُغلت بالفعل في الهجمات الإلكترونية.”
وعند الاتصال به للتعليق، قال المطور الرئيسي لمكتبة FreeType، فيرنر ليمبرغ، لموقع The Hacker News إن إصلاحًا لهذه الثغرة تم تضمينه منذ ما يقرب من عامين. وأضاف: “الإصدارات الأحدث من FreeType 2.13.0 لم تعد تتأثر بهذه الثغرة.”
توزيعات Linux المتأثرة
في رسالة منفصلة نُشرت على قائمة البريد الأمني oss-security، تبين أن العديد من توزيعات Linux تعمل بإصدار قديم من المكتبة، مما يجعلها عرضة لهذه الثغرة. ومن بين هذه التوزيعات:
- AlmaLinux
- Alpine Linux
- Amazon Linux 2
- Debian stable / Devuan
- RHEL / CentOS Stream / Alma Linux / إلخ. (الإصدارات 8 و9)
- GNU Guix
- Mageia
- OpenMandriva
- openSUSE Leap
- Slackware
- Ubuntu 22.04
توصيات الأمان
نظرًا لوجود تقارير عن استغلال نشط للثغرة، يُنصح المستخدمون بتحديث مكتبة FreeType إلى الإصدار الأحدث (2.13.3) لضمان الحماية المثلى.
