A Meta alertou sobre uma vulnerabilidade crítica na biblioteca de renderização de fontes FreeType, que pode estar sendo explorada ativamente. Identificada como CVE-2025-27363, a falha tem um CVSS de 8.1, indicando alta severidade. Trata-se de um erro de escrita fora dos limites (out-of-bounds write) que pode permitir execução remota de código ao processar certos arquivos de fonte.

Segundo a Meta, o problema afeta FreeType 2.13.0 e versões anteriores, ocorrendo ao interpretar estruturas de subglifos de fontes TrueType GX e variáveis. O erro envolve a atribuição incorreta de valores, resultando em alocação insuficiente de memória e possibilitando execução arbitrária de código. Embora a empresa não tenha detalhado como a vulnerabilidade está sendo explorada ou quem está por trás dos ataques, confirmou que há indícios de exploração ativa. 

O desenvolvedor da FreeType, Werner Lemberg, afirmou que o problema já foi corrigido há quase dois anos e que versões superiores à 2.13.0 não são afetadas. No entanto, diversas distribuições Linux ainda utilizam versões desatualizadas da biblioteca, incluindo AlmaLinux, Alpine Linux, Amazon Linux 2, Debian, RHEL, CentOS Stream, Mageia, Ubuntu 22.04, entre outras. Usuários dessas distribuições são fortemente recomendados a atualizar para a versão mais recente, FreeType 2.13.3, para mitigar riscos.