13 मार्च 2025। मेटा (Facebook) ने FreeType लाइब्रेरी में एक गंभीर सुरक्षा खामी की चेतावनी जारी की है। यह एक फ़ॉन्ट-रेंडरिंग लाइब्रेरी है, जिसे कई एप्लिकेशन और ऑपरेटिंग सिस्टम इस्तेमाल करते हैं। रिपोर्ट्स के अनुसार, हैकर्स इस कमजोरी का फायदा उठा सकते हैं, और कुछ Linux डिस्ट्रीब्यूशन्स में अभी भी इसका कमजोर वर्शन उपयोग किया जा रहा है।

☑️ गंभीर सुरक्षा खामी, स्कोर 8.1
सुरक्षा विशेषज्ञों के अनुसार, इस खामी की गंभीरता 10 में से 8.1 स्कोर रखती है, जो इसे एक उच्च-स्तरीय खतरा बनाती है। यह बग हैकर्स को प्रभावित सिस्टम पर मनमाना कोड चलाने की अनुमति देता है। हमला करने के लिए केवल एक विशेष प्रकार के फ़ॉन्ट को रेंडर करने की आवश्यकता होती है।

Facebook ने अपनी सुरक्षा सलाह में स्पष्ट किया, “FreeType के वर्शन 2.13.0 और उससे पुराने संस्करणों में ‘आउट-ऑफ-बाउंड्स राइट’ नामक मेमोरी बग पाया गया है।” हालांकि, FreeType के नए संस्करण इस समस्या से सुरक्षित हैं।

🌐 कैसे काम करता है यह बग?
यह खामी खासकर TrueType GX और वेरिएबल फ़ॉन्ट फ़ाइलों को प्रोसेस करने के दौरान उत्पन्न होती है। FreeType की गलत मेमोरी गणना के कारण, सॉफ़्टवेयर जरूरत से कम मेमोरी आवंटित करता है, जिससे छह हस्ताक्षरित लंबे पूर्णांक (signed long integers) मेमोरी सीमा के बाहर लिखे जाते हैं।

Facebook ने चेतावनी दी, “इस खामी का उपयोग करके मनमाना कोड निष्पादन (arbitrary code execution) संभव है, और इसका जंगली (wild) में शोषण किया जा सकता है।”

🌐 किन सिस्टम्स पर है खतरा?
FreeType 2.13.0, जो इस सुरक्षा खामी वाला आखिरी प्रभावित संस्करण था, 9 फरवरी 2023 को जारी हुआ था। इसके तीन महीने बाद नया वर्शन आया, लेकिन अभी भी कई सिस्टम पुराने संस्करणों पर निर्भर हैं।

☑️ oss-security मेलिंग सूची के अनुसार, निम्नलिखित Linux डिस्ट्रीब्यूशन्स और सॉफ़्टवेयर पैकेज अभी भी FreeType के कमजोर संस्करण का उपयोग कर रहे हैं:

Ubuntu 22.04
Amazon Linux 2
Debian Stable / Devuan
RHEL / CentOS Stream / Alma Linux (संस्करण 8 और 9)
GNU Guix, Mageia, OpenMandriva, openSUSE Leap, Slackware, Debian Bookworm

🌐 वेब ब्राउज़र और एम्बेडेड फ़ॉन्ट का खतरा
हालांकि, प्रमुख वेब ब्राउज़रों में FreeType का अपडेटेड वर्शन शामिल कर दिया गया है। लेकिन, अब वेबसाइट्स में एम्बेडेड फ़ॉन्ट्स का उपयोग सामान्य हो गया है।

एक सुरक्षा शोधकर्ता ने बताया, “यदि उपयोगकर्ता केवल विश्वसनीय फ़ॉन्ट्स का उपयोग करें, तो यह बग ज्यादा खतरनाक नहीं होगा। लेकिन, ‘परिवर्तनीय फ़ॉन्ट फ़ाइलें’ (Variable Font Files) ब्राउज़रों में व्यापक रूप से इस्तेमाल हो रही हैं, जिससे यह एक गंभीर खतरा बन सकता है।”

🌐 क्या करें?
सिस्टम को तुरंत अपडेट करें और FreeType का नवीनतम संस्करण इंस्टॉल करें।
वेबसाइट्स से अनजान फ़ॉन्ट डाउनलोड करने से बचें।
ब्राउज़रों और ऑपरेटिंग सिस्टम को नियमित रूप से अपडेट रखें।

Facebook की इस चेतावनी से साफ है कि फ़ॉन्ट-रेंडरिंग से जुड़ी यह खामी गंभीर खतरा पैदा कर सकती है। जिन सिस्टम्स में FreeType का पुराना वर्शन चल रहा है, उन्हें तुरंत अपडेट करने की जरूरत है। अन्यथा, यह साइबर हमलों के लिए एक नया रास्ता खोल सकता है।