CVE-2025-27363: Font Library FreeType Flaw Exploited in the Wild, Millions at Risk
2025/03/11 SecurityOnline — 広く使用されている FreeType フォント・レンダリング・ライブラリに、深刻な脆弱性 CVE-2025-27363 (CVSS:8.1) が発見された。この脆弱性は、FreeType バージョン 2.13.0 以下に影響を及ぼし、数百万台のデバイスをリモート・コード実行のリスクにさらす可能性があるという。
FreeType とは、フォントをレンダリングするために、無料で利用できるソフトウェア・ライブラリである。大半のベクター/ビットマップ・フォントを、高品質の出力 (glyph images) を生成できる一方で、コンパクトで効率がよく、高度なカスタマイズが可能であり、移植性にも配慮した設計が施されている。多数の OS やソフトウェア・プラットフォームに遍在しているため、この脆弱性の影響は、きわめて警戒すべきものである。
影響を受けるプラットフォームは以下のとおりである:
- オペレーティング・システム:GNU/Linux/FreeBSD/NetBSD/ChromeOS/ReactOS
- モバイル・プラットフォーム:Android/Tizen/iOS
- ソフトウェア・コンポーネント:Ghostscript/Chromium/WebKit/Gecko/Goanna などのブラウザ・エンジン。
脆弱性 CVE-2025-27363 は、このライブラリにおける TrueType GX および可変フォント・ファイルの処理に起因する。そのアドバイザリには、「FreeType バージョン 2.13.0 以下では、TrueType GX および可変フォント・ファイルに関連するフォント・サブグリフ構造を解析する際に、境界外書き込みが発生する」と記されている。
さらに、以下の技術的な詳細により、危険な一連のイベントが明らかになる。
このアドバイザリは、「脆弱なコードは、符号付き short 値を、符号なし long に割り当て、次に静的値を追加してラップアラウンドを引き起こし、小さすぎるヒープ・バッファーを割り当てる。続いて、このバッファーを基準にするコードにより、最大で6つの符号付き long 整数が境界外に書き込まれる。それにより、任意のコード実行にいたる可能性が生じる」と警告している。
簡単に言えば、悪意のフォント・ファイルを用いて、FreeType を騙して割り当てメモリ外にデータを書き込ませ、そのシステム上で攻撃者は、任意のコード実行を引き起こす機会を得られる。これは深刻な脅威である。特別に細工された文書のオープンや、悪意の Web ページへのアクセスだけで、リモートの攻撃者にデバイスの制御を許すことになりかねない。
公式アドバイザリは、「この脆弱性には、実際に悪用されている可能性がある」と警告しており、状況の深刻さが増している。つまり、この欠陥が、攻撃者により積極的に悪用されている可能性があり、速やかなパッチ適用が重要となっている。
ユーザーと管理者に対して強く推奨されるのは、FreeType ライブラリのパッチ適用バージョンへと、速やかにアップデートすることだ。FreeType は広く使用されているため、この脆弱性の潜在的な影響は大きく、広範なデバイスとソフトウェアが侵害の対象となっている。
このブログでは初登場の FreeType ですが、文中にもある通り、多くのメジャーな OS やモバイル・プラットフォームで使用されていますので、脆弱性 CVE-2025-27363 の影響の範囲はかなり広範に及ぶと考えられます。この脆弱性は、既に悪用されている可能性があるという状況です。ご利用のチームは、パッチの適用を、お急ぎください。
IoT OT Security News 
You must be logged in to post a comment.