Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-02719

Опубликовано: 18 мар. 2023
Источник: fstec
CVSS3: 8.1
CVSS2: 7.6
EPSS Высокий

Описание

Уязвимость библиотеки для растеризации шрифтов FreeType связана с чтением за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированного файла вариативных шрифтов

Вендор

FreeType Project
АО "НППКТ"

Наименование ПО

FreeType
ОСОН ОСнова Оnyx

Версия ПО

до 2.13.0 включительно (FreeType)
до 2.13 (ОСОН ОСнова Оnyx)

Тип ПО

Прикладное ПО информационных систем
Операционная система

Операционные системы и аппаратные платформы

АО "НППКТ" ОСОН ОСнова Оnyx до 2.13

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам;
- ограничение доступа из внешних сетей (Интернет);
- использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному обеспечению;
- установка шрифтов только из доверенных источников;
- использование антивирусного программного обеспечения для проверки устанавливаемых шрифтов на предмет наличия сигнатур ВПО.
Использование рекомендаций:
https://gitlab.freedesktop.org/freetype/freetype/-/commit/ef636696524b081f1b8819eb0c6a0b932d35757d
Обновление программного обеспечения freetype до версии 2.12.1+dfsg-5+deb12u4

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.70718
Высокий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

CVSS3: 8.1
ubuntu
5 месяцев назад

An out of bounds write exists in FreeType versions 2.13.0 and below (newer versions of FreeType are not vulnerable) when attempting to parse font subglyph structures related to TrueType GX and variable font files. The vulnerable code assigns a signed short value to an unsigned long and then adds a static value causing it to wrap around and allocate too small of a heap buffer. The code then writes up to 6 signed long integers out of bounds relative to this buffer. This may result in arbitrary code execution. This vulnerability may have been exploited in the wild.

CVSS3: 8.1
redhat
5 месяцев назад

An out of bounds write exists in FreeType versions 2.13.0 and below (newer versions of FreeType are not vulnerable) when attempting to parse font subglyph structures related to TrueType GX and variable font files. The vulnerable code assigns a signed short value to an unsigned long and then adds a static value causing it to wrap around and allocate too small of a heap buffer. The code then writes up to 6 signed long integers out of bounds relative to this buffer. This may result in arbitrary code execution. This vulnerability may have been exploited in the wild.

CVSS3: 8.1
nvd
5 месяцев назад

An out of bounds write exists in FreeType versions 2.13.0 and below (newer versions of FreeType are not vulnerable) when attempting to parse font subglyph structures related to TrueType GX and variable font files. The vulnerable code assigns a signed short value to an unsigned long and then adds a static value causing it to wrap around and allocate too small of a heap buffer. The code then writes up to 6 signed long integers out of bounds relative to this buffer. This may result in arbitrary code execution. This vulnerability may have been exploited in the wild.

CVSS3: 8.1
msrc
5 месяцев назад

Описание отсутствует

CVSS3: 8.1
debian
5 месяцев назад

An out of bounds write exists in FreeType versions 2.13.0 and below (n ...

EPSS

Процентиль: 99%
0.70718
Высокий

8.1 High

CVSS3

7.6 High

CVSS2