FreeType: Update für IT-Sicherheitswarnung (Risiko: hoch)
Für FreeType wurde ein Update zur IT-Sicherheitswarnung einer bekannten Schwachstelle veröffentlicht. Wie sich betroffene Anwender verhalten sollten, erfahren Sie hier.
Erstellt von Sarah Knauth - Uhr
Suche
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 01.10.2025 ein Update zu einer am 11.03.2025 bekanntgewordenen Sicherheitslücke für FreeType herausgegeben. Betroffen von der Sicherheitslücke sind die Betriebssysteme UNIX und Windows sowie die Produkte Debian Linux, Amazon Linux 2, Red Hat Enterprise Linux, Ubuntu Linux, SUSE Linux, Oracle Linux, Gentoo Linux, Open Source Arch Linux, IBM Power Hardware Management Console, IBM App Connect Enterprise, Dell NetWorker, Insyde UEFI Firmware, IBM MQ, Dell Avamar, Open Source FreeType, IBM QRadar SIEM, IBM Cognos Analytics, IBM Business Automation Workflow, Red Hat OpenShift und Dell PowerProtect Data Domain.
Die neuesten Hersteller-Empfehlungen bezüglich Updates, Workarounds und Sicherheitspatches für diese Sicherheitslücke finden Sie hier: Dell Security Update (Stand: 02.10.2025). Weitere nützliche Links werden weiter unten in diesem Artikel aufgeführt.
Sicherheitshinweis für FreeType - Risiko: hoch
Risikostufe: 4 (hoch)
CVSS Base Score: 8,1
CVSS Temporal Score: 7,7
Remoteangriff: Ja
Zur Bewertung des Schweregrads von Schwachstellen in Computersystemen wird das Common Vulnerability Scoring System (CVSS) angewandt. Der CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken auf Basis verschiedener Kriterien miteinander zu vergleichen, um Gegenmaßnahmen besser priorisieren zu können. Für die Schweregrade einer Schwachstelle werden die Attribute "keine", "niedrig", "mittel", "hoch" und "kritisch" verwendet. Der Base Score bewertet die Voraussetzungen für einen Angriff (u.a. Authentifizierung, Komplexität, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Temporal Score fließen über die Zeit veränderbare Rahmenbedingungen in die Bewertung ein. Die Gefährdung der hier behandelten Schwachstelle wird nach dem CVSS mit einem Base Score von 8,1 als "hoch" eingestuft.
FreeType Bug: Schwachstelle ermöglicht Codeausführung
FreeType ist eine Open Source Programmbibliothek zur Darstellung von Vektorschriften.
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in FreeType ausnutzen, um beliebigen Programmcode auszuführen.
Klassifiziert wurde die Schwachstelle mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuelle Seriennummer CVE-2025-27363.
Von der FreeType-Sicherheitslücke betroffene Systeme im Überblick
Betriebssysteme
UNIX, Windows
Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
Gentoo Linux (cpe:/o:gentoo:linux)
Open Source Arch Linux (cpe:/o:archlinux:archlinux)
IBM Power Hardware Management Console V10 (cpe:/a:ibm:hardware_management_console)
IBM App Connect Enterprise (cpe:/a:ibm:app_connect_enterprise)
Dell NetWorker (cpe:/a:dell:networker)
Insyde UEFI Firmware kernel (cpe:/h:insyde:uefi)
IBM MQ Operator (cpe:/a:ibm:mq)
Dell Avamar (cpe:/a:dell:avamar)
Open Source FreeType <2.13.1 (cpe:/a:freetype:freetype)
Open Source FreeType 2.13.1 (cpe:/a:freetype:freetype)
IBM QRadar SIEM <7.5.0 UP11 IF04 (cpe:/a:ibm:qradar_siem)
IBM QRadar SIEM 7.5.0 UP11 IF04 (cpe:/a:ibm:qradar_siem)
IBM Cognos Analytics <12.1.0 IF1 (cpe:/a:ibm:cognos_analytics)
IBM Cognos Analytics 12.1.0 IF1 (cpe:/a:ibm:cognos_analytics)
IBM Cognos Analytics <12.0.4 IF3 (cpe:/a:ibm:cognos_analytics)
IBM Cognos Analytics 12.0.4 IF3 (cpe:/a:ibm:cognos_analytics)
IBM Cognos Analytics <11.2.4 IF7 (cpe:/a:ibm:cognos_analytics)
IBM Cognos Analytics 11.2.4 IF7 (cpe:/a:ibm:cognos_analytics)
IBM Business Automation Workflow <24.0.1-IF002 (cpe:/a:ibm:business_automation_workflow)
IBM Business Automation Workflow 24.0.1-IF002 (cpe:/a:ibm:business_automation_workflow)
IBM Business Automation Workflow <24.0.0-IF005 (cpe:/a:ibm:business_automation_workflow)
IBM Business Automation Workflow 24.0.0-IF005 (cpe:/a:ibm:business_automation_workflow)
Red Hat OpenShift Container Platform <4.12.76 (cpe:/a:redhat:openshift)
Red Hat OpenShift Container Platform 4.12.76 (cpe:/a:redhat:openshift)
Dell PowerProtect Data Domain <8.4.0.0 (cpe:/a:dell:powerprotect_data_domain)
Dell PowerProtect Data Domain 8.4.0.0 (cpe:/a:dell:powerprotect_data_domain)
Dell PowerProtect Data Domain <7.10.1.70 (cpe:/a:dell:powerprotect_data_domain)
Dell PowerProtect Data Domain 7.10.1.70 (cpe:/a:dell:powerprotect_data_domain)
Dell PowerProtect Data Domain <7.13.1.40 (cpe:/a:dell:powerprotect_data_domain)
Dell PowerProtect Data Domain 7.13.1.40 (cpe:/a:dell:powerprotect_data_domain)
Dell PowerProtect Data Domain <8.3.1.10 (cpe:/a:dell:powerprotect_data_domain)
Dell PowerProtect Data Domain 8.3.1.10 (cpe:/a:dell:powerprotect_data_domain)
Allgemeine Maßnahmen zum Umgang mit IT-Schwachstellen
- Anwender der betroffenen Systeme sollten diese auf dem aktuellsten Stand halten. Hersteller sind bei Bekanntwerden von Sicherheitslücken dazu angehalten, diese schnellstmöglich durch Entwicklung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie diese zeitnah.
- Konsultieren Sie zu Informationszwecken die im nächsten Abschnitt aufgeführten Quellen. Häufig enthalten diese weiterführende Informationen zur aktuellsten Version der betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
- Wenden Sie sich bei weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.
Hersteller-Informationen zu Updates, Patches und Workarounds
An dieser Stelle befinden sich weiterführende Links mit Informationen über Bug-Reports, Security-Fixes und Workarounds.
Dell Security Update vom 2025-10-02 (01.10.2025)
Weitere Informationen finden Sie unter: https://www.dell.com/support/kbdoc/000376224
Insyde Security Advisory INSYDE-SA-2025003 vom 2025-07-08 (08.07.2025)
Weitere Informationen finden Sie unter: https://www.insyde.com/security-pledge/sa-2025003/
IBM Security Bulletin 7238984 vom 2025-07-07 (06.07.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7238984
Red Hat Security Advisory RHSA-2025:9380 vom 2025-06-23 (23.06.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:9380
Dell Security Advisory DSA-2025-213 vom 2025-05-30 (29.05.2025)
Weitere Informationen finden Sie unter: https://www.dell.com/support/kbdoc/de-de/000326299/dsa-2025-213-security-update-for-dell-avamar-dell-networker-virtual-edition-nve-and-dell-powerprotect-dp-series-appliance-dell-integrated-data-protection-appliance-idpa-multiple-third-party-vulnerabilities
Red Hat Security Advisory RHSA-2025:8292 vom 2025-05-29 (29.05.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:8292
Red Hat Security Advisory RHSA-2025:8253 vom 2025-05-28 (27.05.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:8253
Red Hat Security Advisory RHSA-2025:8219 vom 2025-05-27 (27.05.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:8219
Red Hat Security Advisory RHSA-2025:8195 vom 2025-05-27 (26.05.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:8195
Arch Linux Security Advisory ASA-202505-11 vom 2025-05-20 (19.05.2025)
Weitere Informationen finden Sie unter: https://security.archlinux.org/ASA-202505-11
Gentoo Linux Security Advisory GLSA-202505-07 vom 2025-05-14 (13.05.2025)
Weitere Informationen finden Sie unter: https://security.gentoo.org/glsa/202505-07
IBM Security Bulletin 7233150 vom 2025-05-12 (12.05.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7233150
Amazon Linux Security Advisory ALAS-2025-1976 vom 2025-05-13 (12.05.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/ALAS-2025-1976.html
Red Hat Security Advisory RHSA-2025:4409 vom 2025-05-08 (07.05.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:4409
IBM Security Bulletin 7232436 vom 2025-05-03 (04.05.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7232436
IBM Security Bulletin 7232272 vom 2025-05-01 (01.05.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7232272
IBM Security Bulletin 7231738 vom 2025-04-29 (29.04.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7231738
IBM Security Bulletin 7231915 vom 2025-04-26 (27.04.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7231915
Oracle Linux Security Advisory ELSA-2025-3395 vom 2025-04-11 (13.04.2025)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2025-3395.html
Oracle Linux Security Advisory ELSA-2025-3421 vom 2025-04-01 (01.04.2025)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2025-3421.html
Amazon Linux Security Advisory ALAS-2025-2806 vom 2025-04-02 (01.04.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2025-2806.html
Oracle Linux Security Advisory ELSA-2025-3407 vom 2025-04-01 (31.03.2025)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2025-3407.html
Debian Security Advisory DLA-4104 vom 2025-04-01 (31.03.2025)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2025/03/msg00030.html
Red Hat Security Advisory RHSA-2025:3407 vom 2025-03-31 (31.03.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:3407
Red Hat Security Advisory RHSA-2025:3421 vom 2025-03-31 (31.03.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:3421
Red Hat Security Advisory RHSA-2025:3383 vom 2025-03-31 (30.03.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:3383
Red Hat Security Advisory RHSA-2025:3393 vom 2025-03-31 (30.03.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:3393
Red Hat Security Advisory RHSA-2025:3395 vom 2025-03-31 (30.03.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:3395
Red Hat Security Advisory RHSA-2025:3382 vom 2025-03-31 (30.03.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:3382
Red Hat Security Advisory RHSA-2025:3384 vom 2025-03-31 (30.03.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:3384
Red Hat Security Advisory RHSA-2025:3386 vom 2025-03-31 (30.03.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:3386
Red Hat Security Advisory RHSA-2025:3385 vom 2025-03-31 (30.03.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:3385
Red Hat Security Advisory RHSA-2025:3387 vom 2025-03-31 (30.03.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:3387
SUSE Security Update SUSE-SU-2025:0998-1 vom 2025-03-25 (24.03.2025)
Weitere Informationen finden Sie unter: https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/GMD7FBW6S6XPM2U7OO74GVDIDS74EGF6/
SUSE Security Update SUSE-SU-2025:0960-1 vom 2025-03-19 (19.03.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-March/020564.html
Ubuntu Security Notice USN-7352-1 vom 2025-03-17 (17.03.2025)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-7352-1
Debian Security Advisory DSA-5880 vom 2025-03-17 (17.03.2025)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-security-announce/2025/msg00042.html
Ubuntu Security Notice USN-7352-2 vom 2025-03-18 (17.03.2025)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-7352-2
Facebook Security Advisory vom 2025-03-11 (11.03.2025)
Weitere Informationen finden Sie unter: https://www.facebook.com/security/advisories/cve-2025-27363
Versionshistorie dieser Sicherheitswarnung
Dies ist die 24. Version des vorliegenden IT-Sicherheitshinweises für FreeType. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie anhand der folgenden Versionshistorie nachvollziehen.
11.03.2025 - Initiale Fassung
17.03.2025 - Neue Updates von Ubuntu und Debian aufgenommen
19.03.2025 - Neue Updates von SUSE aufgenommen
24.03.2025 - Neue Updates von SUSE aufgenommen
30.03.2025 - Neue Updates von Red Hat aufgenommen
31.03.2025 - Neue Updates von Red Hat und Debian aufgenommen
01.04.2025 - Neue Updates von Amazon und Oracle Linux aufgenommen
13.04.2025 - Neue Updates von Oracle Linux aufgenommen
27.04.2025 - Neue Updates von IBM aufgenommen
29.04.2025 - Neue Updates von IBM aufgenommen
01.05.2025 - Neue Updates von IBM aufgenommen
04.05.2025 - Neue Updates von IBM aufgenommen
07.05.2025 - Neue Updates von Red Hat aufgenommen
12.05.2025 - Neue Updates von Amazon und IBM aufgenommen
13.05.2025 - Neue Updates von Gentoo aufgenommen
19.05.2025 - Neue Updates von Arch Linux aufgenommen
26.05.2025 - Neue Updates von Red Hat aufgenommen
27.05.2025 - Neue Updates von Red Hat aufgenommen
29.05.2025 - Neue Updates von Red Hat aufgenommen
23.06.2025 - Neue Updates von Red Hat aufgenommen
06.07.2025 - Neue Updates von IBM aufgenommen
08.07.2025 - Neue Updates von Insyde aufgenommen
31.07.2025 - Referenz(en) aufgenommen:
01.10.2025 - Neue Updates von Dell aufgenommen
+++ Redaktioneller Hinweis: Dieser Text wurde auf Basis aktueller BSI-Daten generiert und wird je nach Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter hinweis@news.de entgegen. +++
kns/roj/news.de
Erfahren Sie hier mehr über die journalistischen Standards und die Redaktion von news.de.