1. Avisos de seguridad
  2. Vulnerabilidad de escritura fuera de límites en FreeType de Samsung (CVE-2025-27363)
Fecha de publicación: Vie, 09/05/2025 - 17:45

Aviso de seguridad

Nivel de peligrosidad: Alto

La vulnerabilidad CVE-2025-27363, se origina al asignar un valor de tipo short con signo a una variable de tipo unsigned long, seguido de una suma que provoca un desbordamiento y la asignación de un búfer de memoria insuficiente. Posteriormente, se escriben hasta seis valores de tipo long con signo fuera de los límites de este búfer, lo que puede resultar en la ejecución de código arbitrario.

Descripción

La vulnerabilidad CVE-2025-27363, se origina al asignar un valor de tipo short con signo a una variable de tipo unsigned long, seguido de una suma que provoca un desbordamiento y la asignación de un búfer de memoria insuficiente. Posteriormente, se escriben hasta seis valores de tipo long con signo fuera de los límites de este búfer, lo que puede resultar en la ejecución de código arbitrario.

Samsung: FreeType está integrado en múltiples dispositivos Samsung, como parte de su sistema Android personalizado (One UI), y es utilizado para el renderizado de texto en interfaces, aplicaciones y visualización de fuentes del sistema.

Recursos afectados

  • Biblioteca: FreeType versiones 2.13.0 y anteriores.
  • Sistemas operativos y distribuciones:
  • Android (componentes del sistema).
  • Debian 11.0.
  • Amazon Linux 2 y Amazon Linux 2023.
  • Ubuntu 20.04 LTS y 18.04 LTS.
  • Red Hat Enterprise Linux.
  • Otras plataformas que integran FreeType

Solución

Actualización de FreeType: Actualizar a la versión más reciente de FreeType, superior a la 2.13.0, donde se ha corregido esta vulnerabilidad.

Parche de seguridad para Android: Aplicar las actualizaciones de seguridad de mayo de 2025 proporcionadas por Google, que abordan esta y otras vulnerabilidades.

Distribuciones Linux: Aplicar los parches de seguridad correspondientes proporcionados por cada distribución.

Recomendaciones

Usuarios finales:

  • Actualizar los dispositivos Android a la versión de seguridad más reciente.

  • Evitar abrir archivos de fuentes de origen desconocido o no confiable.

Administradores de sistemas:

  • Verificar y actualizar la biblioteca FreeType en los sistemas bajo su administración.

  • Aplicar los parches de seguridad proporcionados por las distribuciones correspondientes.

Desarrolladores:

  • Revisar las dependencias de proyectos que utilicen FreeType y actualizar a versiones seguras.

 

Referencias

NVD

RED HAT