Google випустила критичне оновлення безпеки для операційної системи Android, яке усуває 46 вразливостей, включаючи особливо небезпечну проблему в бібліотеці FreeType. Вразливість CVE-2025-27363 отримала високий показник небезпеки 8,1 за шкалою CVSS та вже активно використовується зловмисниками для проведення цільових атак.
Детальний аналіз вразливості FreeType
Виявлена вразливість впливає на системний компонент Android, що відповідає за обробку шрифтів. Проблема виникає через некоректне перетворення типів даних при обробці підгліфових структур у шрифтах TrueType GX та змінних шрифтових файлах. Особливо небезпечним є те, що експлуатація вразливості не потребує підвищення привілеїв або взаємодії з користувачем.
Технічні аспекти вразливості
Механізм вразливості полягає у неправильному присвоєнні значення типу signed short змінній типу unsigned long з подальшим додаванням статичного значення. Така помилка призводить до переповнення буфера, що дозволяє зловмиснику виконати довільний код на цільовому пристрої. Вразливими є всі версії бібліотеки FreeType до 2.13.0.
Комплексні заходи безпеки
Окрім критичної вразливості FreeType, оновлення включає виправлення численних проблем безпеки в різних компонентах Android. Значна частина патчів спрямована на усунення вразливостей, пов’язаних з можливістю несанкціонованого підвищення системних привілеїв. Оновлення охоплює Framework, System, Google Play, ядро Android та пропрієтарні компоненти від провідних виробників чипсетів.
З огляду на підтверджені випадки експлуатації CVE-2025-27363 у реальних атаках, фахівці з кібербезпеки наполегливо рекомендують користувачам Android негайно встановити останнє оновлення безпеки. Затримка з оновленням може призвести до компрометації пристрою та витоку конфіденційних даних. Для максимального захисту рекомендується також регулярно перевіряти наявність оновлень та дотримуватися базових правил цифрової гігієни.
