FreeType es una biblioteca de representación de fuentes gratuita y de código abierto. La biblioteca de renderizado se utiliza principalmente para mostrar texto y agregar texto a imágenes mediante programación. Con esta biblioteca de código abierto, los desarrolladores también pueden cargar, rasterizar y renderizar fuentes en varios formatos, como fuentes TTF o fuentes OTF.

Según las estadísticas, esta biblioteca de renderizado también se ha instalado en millones de dispositivos o servicios, incluidos, entre otros, Linux, Android, motores de juegos, marcos GUI o varias plataformas en línea.

El laboratorio de investigación de seguridad propiedad de la empresa de redes sociales Facebook anunció recientemente una vulnerabilidad de seguridad en FreeType. La vulnerabilidad tiene el número CVE-2025-27363 y tiene una puntuación de vulnerabilidad de 8,1/10.

Esta vulnerabilidad se solucionó en la versión 2.13.0 de FreeType lanzada el 9 de febrero de 2023. ¿Por qué Facebook solo reveló esta vulnerabilidad ahora? Porque les preocupa que los desarrolladores de software y sistemas operativos no tengan tiempo para solucionarlos, lo que provocará que los piratas informáticos aprovechen las vulnerabilidades.

Facebook declaró en la descripción de la vulnerabilidad:

FreeType anterior a la versión 2.13.0 tenía una escritura fuera de límites al intentar analizar estructuras de subglifos de fuentes asociadas con TrueTypeGx y archivos de fuentes variables. El código vulnerable asignaría un valor corto firmado a un valor largo sin firmar y también agregaría un valor estático, lo que provocaría que se ajustara y asignara un búfer de montón que era demasiado pequeño. Luego, el código escribirá hasta 6 longs firmados fuera de los límites relativos a este búfer, lo que podría provocar la ejecución de código arbitrario.

De hecho, incluso si la versión que corrige la vulnerabilidad se lanzó hace 2 años, una gran cantidad de proyectos todavía utilizan la versión anterior que contiene vulnerabilidades de seguridad. Facebook recomienda que los desarrolladores de software y gerentes de proyectos actualicen a la versión FreeType 2.13.0+ lo antes posible. Después de todo, los piratas informáticos ya han intentado aprovechar esta vulnerabilidad para lanzar ataques.

Lo interesante es que descubrir esta vulnerabilidad puede resultar difícil. Quizás Facebook dependa de FreeType hasta cierto punto para descubrir tales vulnerabilidades durante la investigación de seguridad diaria, pero no está claro si Facebook descubrió la vulnerabilidad desde su propia plataforma o mientras investigaba proyectos externos.