CVE-2025-27363 — 神龙十问 AI 深度分析摘要

🚨 **本质**：FreeType 解析 TrueType GX/可变字体时发生**越界写入**（缓冲区错误）。 💥 **后果**：可能导致**任意代码执行**，系统彻底沦陷。

🔍 **缺陷点**：**缓冲区错误**（Heap Buffer Overflow）。 📉 **CWE**：数据未提供具体 CWE ID，但核心是内存安全失效。

📦 **组件**：**FreeType** 开源字体渲染库。 📅 **版本**：**2.13.0 及之前版本**均受影响。

👮 **权限**：攻击者可获取**最高权限**（CVSS A:H）。 📂 **数据**：可完全泄露机密数据（C:H）并篡改系统（I:H）。

🚪 **门槛**：**高**（AC:H）。 🔑 **认证**：**无需认证**（PR:N）且**无需用户交互**（UI:N），但利用条件苛刻。

💣 **Exp**：**有**！GitHub 上已有 PoC（如修改 Roboto Flex 字体触发崩溃/溢出）。

🔎 **自查**：检查软件是否调用 **FreeType < 2.13.1**。 📝 **特征**：处理**可变字体**或 **TrueType GX** 字体时易触发。

🛡️ **补丁**：**已修复**。 📌 **版本**：需升级至 **2.13.1** 或更高版本（参考 commit ef63669）。

⚠️ **规避**：若无法升级，**禁用/过滤**不可信的可变字体文件。 🚫 **限制**：避免解析来源不明的 .ttf/.otf 文件。

🔥 **优先级**：**高**。 📈 **理由**：CVSS 评分极高（H:H:H），且已有 PoC，建议**立即升级**。