A equipe de segurança da Meta alertou sobre a descoberta de um zero-day no FreeType, uma biblioteca de renderização de fontes amplamente utilizada. A falha afeta as versões 2.13.0 e anteriores e permite a execução de código arbitrário, o que pode comprometer a segurança dos sistemas afetados. Identificada como CVE-2025-27363, a falha recebeu uma pontuação de gravidade de 8,1 em uma escala de 10, e embora o Facebook não tenha dado detalhes sobre ataques concretos, alertou que a vulnerabilidade pode já estar sendo explorada.
Leia também
Sites conversores entregam arquivos contaminados
Botnet pega roteadores desatualizados TP-Link
A vulnerabilidade ocorre devido a uma falha de gravação fora dos limites ao processar fontes variáveis e TrueType GX. Isso acontece quando um valor é incorretamente atribuído a um buffer de memória, permitindo que código malicioso seja executado. Os sistemas mais afetados incluem aqueles com versões mais antigas do FreeType, como as encontradas em distribuições Linux antigas. A versão mais recente, 2.13.3, corrige o problema, mas muitos sistemas ainda permanecem vulneráveis se não forem atualizados.
Esse não é o primeiro incidente envolvendo o FreeType. Em 2020, o Google também teve que lançar uma atualização urgente para o Chrome devido a uma falha semelhante. A vulnerabilidade foi atribuída a grupos de hackers avançados e destacou o risco contínuo que bibliotecas como o FreeType representam para a segurança de sistemas em todo o mundo. Organizações e usuários são orientados a atualizar seus sistemas o quanto antes e a monitorar qualquer sinal de exploração.
