GLSA 202505-07: FreeType: Remote Code Execution
| Опасность: | высокая |
| Заголовок: | FreeType: Remote Code Execution |
| Дата: | 14.05.2025 |
| Ошибки: | |
| ID: | 202505-07 |
Сводка
A vulnerability has been discovered in FreeType, which can lead to remote code execution.Назначение
FreeType is a high-quality and portable font engine.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| media-libs/freetype | < 2.13.1 | >= 2.13.1 | All supported architectures |
Описание
Multiple vulnerabilities have been discovered in FreeType. Please review the CVE identifiers referenced below for details.
Воздействие
An out of bounds write exists in FreeType when attempting to parse font subglyph structures related to TrueType GX and variable font files. The vulnerable code assigns a signed short value to an unsigned long and then adds a static value causing it to wrap around and allocate too small of a heap buffer. The code then writes up to 6 signed long integers out of bounds relative to this buffer. This may result in arbitrary code execution. This vulnerability may have been exploited in the wild.
Обход
There is no known workaround at this time.
Решение
All FreeType users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=media-libs/freetype-2.13.1"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.