Facebook dévoile une faille dans FreeType, une bibliothèque utilisée par des millions d’appareils
Une faille de sécurité importante a été découverte par Facebook dans FreeType, une bibliothèque open source populaire, et elle serait déjà exploitée dans des attaques. A quoi sert cette bibliothèque ? Quels sont les risques liés à cette vulnérabilité ? Faisons le point.
FreeType et la CVE-2025-27363
Facebook a publié un nouveau bulletin de sécurité pour alerter les utilisateurs et les développeurs au sujet d'une vulnérabilité découverte dans FreeType. Cette bibliothèque open source est utilisée par des millions d'appareils et de services (et peut-être même plus). Ecrite en C, elle est utilisée pour l'affichage des polices et l'ajout programmatique de texte aux images. Sur le site de FreeType, sont référencés notamment : Linux, FreeBSD, Android, Tizen, Roku, iOS, ChromeOS, ReactOS, Ghostscript ou encore Chromium, WebKit et Gecko pour la partie navigateurs web.
"Si l'on ne tient compte que des produits susmentionnés, plus d'un milliard d'appareils contiennent FreeType.", peut-on lire sur le site de FreeType.
Cette faille de sécurité, associée à la référence CVE-2025-27363 et à un score CVSS v3 de 8.1 sur 10, affecte toutes les versions de FreeType jusqu'à 2.13.0.
Cette faiblesse de type "écriture hors limites" (out of bounds write) est décrite de la façon suivante par Facebook : "Le code vulnérable assigne une valeur signée courte à une valeur longue non signée, puis ajoute une valeur statique, ce qui provoque un dépassement et alloue un tampon de heap trop petit.". Par conséquent, un attaquant peut exploiter cette vulnérabilité pour exécuter du code arbitraire.
Comment se protéger ?
Commençons par une information importante qui est tout de même une bonne nouvelle : la version vulnérable la plus récente (2.13.0) remonte à plus de deux ans, puisqu'elle est sortie le 09 février 2023. Depuis, il y a eu les versions 2.13.1, 2.13.2 et 2.13.3.
Étant donné qu'il est fréquent que des versions plus anciennes de bibliothèques persistent dans des projets applicatifs, il est préférable de vérifier la version que vous utilisez dans votre projet, si vous êtes développeur. Il est recommandé de mettre à jour FreeType vers la version 2.13.3.
Le bulletin de sécurité très succinct publié par Facebook ne donne pas deux informations importantes :
- FreeType est-il utilisé dans certains services de Facebook ou de Meta ?
- Les attaques observées ont-elles affectées sa propre plateforme ?
Pour le moment, nous savons que ces vulnérabilités ont été exploitées dans le cadre d'attaques, mais nous ne savons pas ni quand, ni par qui, ni comment.
