Meta avverte di una vulnerabilità di sicurezza in FreeType
Meta ha recentemente segnalato una vulnerabilità di sicurezza che interessa la libreria di rendering di font open source FreeType. Questa vulnerabilità, identificata come CVE-2023-27363, ha ottenuto un punteggio CVSS di 8.1, indicando un’elevata gravità. Il problema è descritto come un difetto di scrittura fuori limite, che potrebbe essere sfruttato per ottenere l’esecuzione remota del codice durante l’analisi di determinati file di caratteri.
Dettagli tecnici della vulnerabilità
Il codice vulnerabile assegna un valore breve firmato a un valore lungo non firmato e successivamente aggiunge un valore statico che provoca un overflow, portando all’allocazione di un buffer di heap troppo piccolo. Successivamente, il codice scrive fino a sei interi lunghi e firmati fuori dai limiti relativi a questo buffer, il che può comportare l’esecuzione di codice arbitrario.
Stato attuale e risposte
Nonostante la gravità della situazione, Meta non ha fornito dettagli su come la vulnerabilità venga sfruttata, chi possa essere responsabile o l’entità degli attacchi. Tuttavia, ha riconosciuto che il problema “potrebbe essere stato sfruttato in natura”.
Werner Lemberg, sviluppatore di FreeType, ha dichiarato a The Hacker News che una correzione per questa vulnerabilità è stata integrata quasi due anni fa. Questo suggerisce che gli utenti che hanno aggiornato la loro libreria FreeType dovrebbero essere al sicuro da questa minaccia.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!