Компания Google выпустила критическое обновление безопасности для операционной системы Android, устраняющее 46 уязвимостей. Особую озабоченность вызывает активно эксплуатируемая уязвимость в библиотеке FreeType, получившая идентификатор CVE-2025-27363 и оценку 8,1 по шкале CVSS.
Технический анализ уязвимости FreeType
Обнаруженная проблема безопасности затрагивает системный компонент Android и позволяет осуществить локальное выполнение произвольного кода без необходимости повышения привилегий или взаимодействия с пользователем. Уязвимость связана с некорректной обработкой подглифовых структур в шрифтах TrueType GX и переменных шрифтовых файлах.
Механизм эксплуатации
Технический анализ показывает, что уязвимость возникает из-за небезопасного преобразования типов данных при обработке шрифтов. Происходит некорректное присваивание signed short значения переменной типа unsigned long с последующим добавлением статического значения. Это приводит к переполнению буфера и потенциальному выполнению вредоносного кода.
Масштаб угрозы и затронутые версии
Уязвимости подвержены все версии библиотеки FreeType до 2.13.0. Google подтверждает факты «ограниченной и целенаправленной эксплуатации» данной уязвимости в реальных атаках, хотя конкретные детали инцидентов пока не разглашаются в целях безопасности.
Комплексное обновление безопасности
Помимо критической уязвимости FreeType, текущее обновление устраняет множество других проблем безопасности в различных компонентах Android. Исправлены уязвимости в Framework, System, Google Play и ядре Android, а также в проприетарных компонентах от MediaTek, Qualcomm, Arm и Imagination Technologies. Большинство исправленных уязвимостей связаны с возможностью повышения привилегий в системе.
Специалисты по безопасности настоятельно рекомендуют пользователям Android незамедлительно установить последнее обновление безопасности для защиты своих устройств от потенциальных атак. Учитывая подтвержденные случаи эксплуатации уязвимости CVE-2025-27363, промедление с обновлением может привести к компрометации устройства и утечке конфиденциальных данных.
