FreeType 라이브러리 취약점(CVE-2025-27363) 악용 중…원격 코드 실행 위협

FreeType Vulnerability Actively Exploited for Arbitrary Code Execution

 

Meta Warns of FreeType Vulnerability (CVE-2025-27363) With Active Exploitation Risk

 

• 취약점 개요
  • FreeType 라이브러리에서 임의 코드 실행(arbitrary code execution)이 가능한 중대한 취약점 발견
  • 취약점 식별자: CVE-2025-27363, CVSS 8.1 (고위험 등급)
  • 취약 버전: 0.0.0 ~ 2.13.0
  • 해당 취약점은 TrueType GX 및 가변 폰트 파일의 하위 글리프(subglyph) 구조 파싱 시 발생
• 기술적 분석
  • 부호 있는 short 값을 부호 없는 long에 대입하고 정적 값을 더하는 과정에서 오버플로우 발생
  • 이로 인해 부적절하게 작은 힙 버퍼가 할당되며, 그 다음 연산에서 최대 6개의 long 정수값이 버퍼 밖에 쓰기되는 out-of-bounds write 발생
  • 결과적으로 메모리 손상과 함께 공격자가 임의의 코드를 실행할 수 있는 조건 형성
• 위협 분석
  • Meta(구 Facebook)는 해당 취약점이 실제 악용됐을 가능성이 있으며, 현재 공격이 관측 중이라고 경고
  • 공격자는 특수 제작된 폰트 파일을 통해 피해자의 시스템에서 원격으로 악성 코드를 실행할 수 있음
  • 공격 벡터는 웹 브라우저, PDF 뷰어, 전자문서 렌더러 등 FreeType을 사용하는 다양한 애플리케이션 및 시스템
• 영향받는 리눅스 배포판 (2025년 3월 기준 구버전 사용 중)
  • Ubuntu 22.04
  • Debian stable, Devuan
  • Amazon Linux 2
  • AlmaLinux, CentOS Stream, RHEL 8/9
  • Alpine Linux
  • openSUSE Leap
  • Slackware, GNU Guix, Mageia, OpenMandriva 등
• 보안 권고
  • FreeType 2.13.3 버전 이상으로 즉시 업그레이드
    • FreeType 개발자 Werner Lemberg에 따르면 해당 취약점은 이미 오래전에 패치됨
  • 취약한 버전의 FreeType을 사용하는 시스템 전체 확인
    • 응용프로그램이 정적으로 링크한 경우에도 포함됨
  • 의심스러운 폰트 파일 열람 제한
    • 이메일, 웹사이트, 문서 등 외부에서 유입된 파일에 주의
  • SIEM을 통한 이례적 프로세스 행위 및 네트워크 탐지 강화
    • 폰트 렌더링 중 과도한 메모리 사용 또는 비정상 종료 로그 분석 필요
• 결론
  • CVE-2025-27363은 광범위하게 배포된 오픈소스 서드파티 라이브러리 기반 공급망 공격(supply chain attack) 가능성이 내포된 고위험 취약점
  • 브라우저, 문서 뷰어, 이미지 처리기 등 다양한 응용 프로그램이 FreeType에 의존하므로, 즉각적인 시스템 점검 및 패치가 필요
  • 리눅스 배포판의 업데이트 지연으로 인해 패치 공백이 존재할 수 있으므로, 시스템 관리자와 보안 담당자의 능동적 대응이 요구됨